Création d'autorisations vérifiées par Amazon : sources d'identité Amazon Cognito - Amazon Verified Permissions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'autorisations vérifiées par Amazon : sources d'identité Amazon Cognito

La procédure suivante ajoute une source d'identité à un magasin de politiques existant.

Vous pouvez également créer une source d'identité lorsque vous créez un nouveau magasin de politiques dans la console Verified Permissions. Au cours de ce processus, vous pouvez importer automatiquement les revendications contenues dans vos jetons de source d'identité dans les attributs des entités. Choisissez l'option Configuration guidée ou Configuration avec API Gateway et un fournisseur d'identité. Ces options créent également des politiques initiales.

Note

Les sources d'identité ne sont pas disponibles dans le volet de navigation de gauche tant que vous n'avez pas créé un magasin de politiques. Les sources d'identité que vous créez sont associées au magasin de politiques actuel.

Vous pouvez omettre le type d'entité principal lorsque vous créez une source d'identité create-identity-sourcedans AWS CLI ou CreateIdentitySourcedans l'API Verified Permissions. Cependant, un type d'entité vide crée une source d'identité avec un type d'entité deAWS::Cognito. Ce nom d'entité n'est pas compatible avec le schéma Policy Store. Pour intégrer les identités Amazon Cognito à votre schéma de magasin de politiques, vous devez définir le type d'entité principal sur une entité de magasin de politiques prise en charge.

AWS Management Console
Pour créer une source d'identité pour un pool d'utilisateurs Amazon Cognito

  1. Ouvrez la console des autorisations vérifiées. Choisissez votre magasin de polices.

  2. Dans le volet de navigation de gauche, choisissez Identity sources.

  3. Choisissez Créer une source d'identité.

  4. Dans Détails du groupe d'utilisateurs Cognito, sélectionnez Région AWS et entrez l'ID du groupe d'utilisateurs pour votre source d'identité.

  5. Dans Configuration principale, pour Type principal, choisissez le type d'entité pour les principaux à partir de cette source. Les identités issues des groupes d'utilisateurs Amazon Cognito connectés seront mappées au type principal sélectionné.

  6. Dans Configuration du groupe, sélectionnez Utiliser le groupe Cognito si vous souhaitez mapper la réclamation du groupe d'utilisateurs. cognito:groups Choisissez un type d'entité parent du type principal.

  7. Dans Validation de l'application client, choisissez si vous souhaitez valider l'application client IDs.

    • Pour valider l'application client IDs, sélectionnez Accepter uniquement les jetons avec l'application client correspondante IDs. Choisissez Ajouter un nouvel ID d'application client pour chaque ID d'application client à valider. Pour supprimer un ID d'application client qui a été ajouté, choisissez Supprimer à côté de l'ID d'application client.

    • Choisissez Ne pas valider l'application cliente IDs si vous ne souhaitez pas valider l'application cliente IDs.

  8. Choisissez Créer une source d'identité.

  9. (Facultatif) Si votre magasin de politiques possède un schéma, avant de pouvoir référencer les attributs que vous extrayez des jetons d'identité ou d'accès dans vos politiques Cedar, vous devez mettre à jour votre schéma pour informer Cedar du type de principal créé par votre source d'identité. Cet ajout au schéma doit inclure les attributs auxquels vous souhaitez faire référence dans vos politiques Cedar. Pour plus d'informations sur le mappage des attributs du jeton Amazon Cognito avec les attributs principaux de Cedar, consultez. Associer les jetons Amazon Cognito au schéma

    Note

    Lorsque vous créez un magasin de politiques lié à une API ou que vous utilisez Set up with API Gateway et un fournisseur d'identité pour créer des magasins de politiques, Verified Permissions interroge votre groupe d'utilisateurs pour les attributs utilisateur et crée un schéma dans lequel votre type principal est renseigné avec les attributs du groupe d'utilisateurs.

  10. Créez des politiques qui utilisent les informations des jetons pour prendre des décisions d'autorisation. Pour de plus amples informations, veuillez consulter Création de politiques statiques relatives aux autorisations vérifiées par Amazon.

Maintenant que vous avez créé une source d'identité, mis à jour le schéma et créé des politiques, les décisions IsAuthorizedWithToken d'autorisation sont prises par Verified Permissions. Pour plus d'informations, consultez le guide IsAuthorizedWithTokende référence de l'API Amazon Verified Permissions.

AWS CLI
Pour créer une source d'identité pour un pool d'utilisateurs Amazon Cognito

Vous pouvez créer une source d'identité à l'aide de cette CreateIdentitySourceopération. L'exemple suivant crée une source d'identité qui peut accéder aux identités authentifiées à partir d'un groupe d'utilisateurs Amazon Cognito.

  1. Créez un config.txt fichier contenant les informations suivantes sur le groupe d'utilisateurs Amazon Cognito à utiliser par le --configuration paramètre de la commande. create-identity-source

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Exécutez la commande suivante pour créer une source d'identité Amazon Cognito.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Facultatif) Si votre magasin de politiques possède un schéma, avant de pouvoir référencer les attributs que vous extrayez des jetons d'identité ou d'accès dans vos politiques Cedar, vous devez mettre à jour votre schéma pour informer Cedar du type de principal créé par votre source d'identité. Cet ajout au schéma doit inclure les attributs auxquels vous souhaitez faire référence dans vos politiques Cedar. Pour plus d'informations sur le mappage des attributs du jeton Amazon Cognito avec les attributs principaux de Cedar, consultez. Associer les jetons Amazon Cognito au schéma

    Note

    Lorsque vous créez un magasin de politiques lié à une API ou que vous utilisez Set up with API Gateway et un fournisseur d'identité pour créer des magasins de politiques, Verified Permissions interroge votre groupe d'utilisateurs pour les attributs utilisateur et crée un schéma dans lequel votre type principal est renseigné avec les attributs du groupe d'utilisateurs.

  4. Créez des politiques qui utilisent les informations des jetons pour prendre des décisions d'autorisation. Pour de plus amples informations, veuillez consulter Création de politiques statiques relatives aux autorisations vérifiées par Amazon.

Maintenant que vous avez créé une source d'identité, mis à jour le schéma et créé des politiques, les décisions IsAuthorizedWithToken d'autorisation sont prises par Verified Permissions. Pour plus d'informations, consultez le guide IsAuthorizedWithTokende référence de l'API Amazon Verified Permissions.

Pour plus d'informations sur l'utilisation des jetons d'accès et d'identité Amazon Cognito pour les utilisateurs authentifiés dans Verified Permissions, consultez la section Autorisation avec Amazon Verified Permissions dans le guide du développeur Amazon Cognito.