Creación de permisos verificados de Amazon | Fuentes de identidad de Amazon Cognito - Amazon Verified Permissions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de permisos verificados de Amazon | Fuentes de identidad de Amazon Cognito

El siguiente procedimiento agrega una fuente de identidad a un almacén de políticas existente.

También puede crear una fuente de identidad al crear un nuevo almacén de políticas en la consola de permisos verificados. En este proceso, puede importar automáticamente las notificaciones de los tokens de su fuente de identidad a los atributos de la entidad. Elija la opción Configuración guiada o Configuración con API Gateway y un proveedor de identidad. Estas opciones también crean políticas iniciales.

nota

Las fuentes de identidad no están disponibles en el panel de navegación de la izquierda hasta que haya creado un almacén de políticas. Las fuentes de identidad que cree están asociadas al almacén de políticas actual.

Puede omitir el tipo de entidad principal al crear una fuente de identidad create-identity-sourceen la API de permisos verificados AWS CLI o CreateIdentitySourceen ella. Sin embargo, un tipo de entidad en blanco crea una fuente de identidad con un tipo de entidad deAWS::Cognito. El nombre de esta entidad no es compatible con el esquema del almacén de políticas. Para integrar las identidades de Amazon Cognito en su esquema de almacén de políticas, debe establecer el tipo de entidad principal en una entidad de almacén de políticas compatible.

AWS Management Console
Para crear una fuente de identidad de un grupo de usuarios de Amazon Cognito

  1. Abra la consola de permisos verificados. Elige tu almacén de políticas.

  2. En el panel de navegación de la izquierda, elija Fuentes de identidad.

  3. Seleccione Crear fuente de identidad.

  4. En Detalles del grupo de usuarios de Cognito, seleccione Región de AWS e introduzca el ID del grupo de usuarios para su fuente de identidad.

  5. En Configuración principal, en Tipo principal, elija el tipo de entidad para los principales de esta fuente. Las identidades de los grupos de usuarios de Amazon Cognito conectados se asignarán al tipo de entidad principal seleccionado.

  6. En Configuración de grupo, seleccione Usar el grupo de Cognito si quiere mapear la notificación del grupo cognito:groups de usuarios. Elija un tipo de entidad que sea principal del tipo principal.

  7. En Validación de la aplicación del cliente, elija si desea validar la aplicación del cliente IDs.

    • Para validar la aplicación cliente IDs, elija Aceptar solo los tokens con una aplicación cliente coincidente IDs. Elija Agregar nuevo ID de aplicación cliente para cada ID de aplicación cliente que desee validar. Para eliminar un ID de aplicación cliente que se haya agregado, elija Eliminar junto al ID de la aplicación cliente.

    • Seleccione No validar la aplicación cliente IDs si no desea validar la aplicación cliente IDs.

  8. Seleccione Crear fuente de identidad.

  9. (Opcional) Si su almacén de políticas tiene un esquema, antes de poder hacer referencia a los atributos que extrae de los tokens de identidad o de acceso en sus políticas de Cedar, debe actualizar su esquema para que Cedar conozca el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token de Amazon Cognito a los atributos de entidad principal de Cedar, consulte Asignar los tokens de Amazon Cognito al esquema.

    nota

    Al crear un almacén de políticas vinculado a una API o utilizar Configurar con API Gateway y un proveedor de identidades al crear almacenes de políticas, Verified Permissions consulta los atributos de usuario del grupo de usuarios y crea un esquema en el que el tipo principal se rellena con los atributos del grupo de usuarios.

  10. Cree políticas que utilicen la información de los tokens para tomar decisiones de autorización. Para obtener más información, consulte Creación de políticas estáticas de Amazon Verified Permissions.

Ahora que ha creado una fuente de identidad, actualizado el esquema y creado políticas, utilice Verified Permissions IsAuthorizedWithToken para tomar decisiones de autorización. Para obtener más información, consulta la guía IsAuthorizedWithTokende referencia de la API de permisos verificados de Amazon.

AWS CLI
Para crear una fuente de identidad de un grupo de usuarios de Amazon Cognito

Puede crear una fuente de identidad mediante la CreateIdentitySourceoperación. El siguiente ejemplo crea una fuente de identidad que puede acceder a las identidades autenticadas de un grupo de usuarios de Amazon Cognito.

  1. Cree un config.txt archivo que contenga los siguientes detalles del grupo de usuarios de Amazon Cognito para que los utilice el --configuration parámetro del comando. create-identity-source

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Ejecute el siguiente comando para crear una fuente de identidad de Amazon Cognito.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Opcional) Si su almacén de políticas tiene un esquema, antes de poder hacer referencia a los atributos que extrae de los tokens de identidad o acceso en sus políticas de Cedar, debe actualizar el esquema para que Cedar sepa el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token de Amazon Cognito a los atributos de entidad principal de Cedar, consulte Asignar los tokens de Amazon Cognito al esquema.

    nota

    Al crear un almacén de políticas vinculado a una API o utilizar Configurar con API Gateway y un proveedor de identidades al crear almacenes de políticas, Verified Permissions consulta los atributos de usuario del grupo de usuarios y crea un esquema en el que el tipo principal se rellena con los atributos del grupo de usuarios.

  4. Cree políticas que utilicen la información de los tokens para tomar decisiones de autorización. Para obtener más información, consulte Creación de políticas estáticas de Amazon Verified Permissions.

Ahora que ha creado una fuente de identidad, actualizado el esquema y creado políticas, utilice Verified Permissions IsAuthorizedWithToken para tomar decisiones de autorización. Para obtener más información, consulta la guía IsAuthorizedWithTokende referencia de la API de permisos verificados de Amazon.

Para obtener más información sobre el uso de los tokens de acceso e identidad de Amazon Cognito para los usuarios autenticados en Verified Permissions, consulte Autorización con Amazon Verified Permissions en la Guía para desarrolladores de Amazon Cognito.