기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Verified Permissions Amazon Cognito 자격 증명 소스 생성
다음 절차에서는 기존 정책 스토어에 자격 증명 소스를 추가합니다.
Verified Permissions 콘솔에서 새 정책 스토어를 생성할 때 자격 증명 소스를 생성할 수도 있습니다. 이 프로세스에서는 자격 증명 소스 토큰의 클레임을 개체 속성으로 자동으로 가져올 수 있습니다. 안내 설정 또는 API Gateway 및 자격 증명 공급자로 설정 옵션을 선택합니다. 이러한 옵션은 초기 정책도 생성합니다.
정책 스토어를 생성하기 전에는 왼쪽 탐색 창에서 자격 증명 소스를 사용할 수 없습니다. 생성한 자격 증명 소스는 현재 정책 스토어와 연결됩니다.
에서 create-identity-source를 사용하여 자격 증명 소스를 생성 AWS CLI 하거나 Verified Permissions API에서 CreateIdentitySource를 사용하여 자격 증명 소스를 생성할 때 보안 주체 엔터티 유형을 제외할 수 있습니다. 그러나 빈 엔터티 유형은 엔터티 유형이 인 ID 소스를 생성합니다AWS::Cognito. 이 엔터티 이름은 정책 스토어 스키마와 호환되지 않습니다. Amazon Cognito 자격 증명을 정책 스토어 스키마와 통합하려면 보안 주체 엔터티 유형을 지원되는 정책 스토어 엔터티로 설정해야 합니다.
- AWS Management Console
-
Amazon Cognito 사용자 풀 자격 증명 소스를 생성하려면
Verified Permissions 콘솔을 엽니다. 정책 스토어를 선택합니다.
-
왼쪽 탐색 창에서 자격 증명 소스를 선택합니다.
-
자격 증명 소스 생성을 선택합니다.
-
Cognito 사용자 풀 세부 정보에서를 AWS 리전 선택하고 자격 증명 소스의 사용자 풀 ID를 입력합니다.
-
보안 주체 구성의 보안 주체 유형에서이 소스의 보안 주체에 대한 엔터티 유형을 선택합니다. 연결된 Amazon Cognito 사용자 풀의 자격 증명은 선택한 보안 주체 유형에 매핑됩니다.
-
사용자 풀 cognito:groups 클레임을 매핑하려면 그룹 구성에서 Cognito 그룹 사용을 선택합니다. 보안 주체 유형의 상위인 엔터티 유형을 선택합니다.
-
클라이언트 애플리케이션 검증에서 클라이언트 애플리케이션 IDs 검증할지 여부를 선택합니다.
-
클라이언트 애플리케이션 ID를 검증하려면 클라이언트 애플리케이션 ID가 일치하는 토큰만 수락을 선택합니다. 검증할 각 클라이언트 애플리케이션 ID에 대해 새 클라이언트 애플리케이션 ID 추가를 선택합니다. 추가된 클라이언트 애플리케이션 ID를 제거하려면 클라이언트 애플리케이션 ID 옆의 제거를 선택합니다.
-
클라이언트 애플리케이션 ID를 검증하지 않으려면 클라이언트 애플리케이션 ID 검증 안 함을 선택합니다.
-
자격 증명 소스 생성을 선택합니다.
(선택 사항) 정책 스토어에 스키마가 있는 경우 Cedar 정책의 자격 증명 또는 액세스 토큰에서 추출한 속성을 참조하려면 먼저 Cedar가 자격 증명 소스가 생성하는 보안 주체 유형을 인식하도록 스키마를 업데이트해야 합니다. 스키마에 추가되는 항목에는 Cedar 정책에서 참조하려는 속성이 포함되어야 합니다. Amazon Cognito 토큰 속성을 Cedar 보안 주체 속성에 매핑하는 방법에 대한 자세한 내용은 Amazon Cognito 토큰 스키마 매핑을(를) 참조하세요.
API 연결 정책 저장소를 생성하거나 정책 저장소를 생성할 때 API Gateway 및 자격 증명 공급자로 설정을 사용하는 경우 Verified Permissions는 사용자 풀에서 사용자 속성을 쿼리하고 보안 주체 유형이 사용자 풀 속성으로 채워지는 스키마를 생성합니다.
토큰의 정보를 사용하여 권한 부여 결정을 내리는 정책을 생성합니다. 자세한 내용은 Amazon Verified Permissions 정적 정책 생성 단원을 참조하십시오.
이제 자격 증명 소스를 생성하고, 스키마를 업데이트하고, 정책을 생성했으므로 IsAuthorizedWithToken를 사용하여 Verified Permissions가 권한 부여 결정을 내리도록 합니다. 자세한 내용은 Amazon Verified Permissions API 참조 안내서의 IsAuthorizedWithToken을 참조하세요.
- AWS CLI
-
Amazon Cognito 사용자 풀 자격 증명 소스를 생성하려면
CreateIdentitySource 작업을 사용하여 자격 증명 소스를 생성할 수 있습니다. 다음 예제는 Amazon Cognito 사용자 풀의 인증된 자격 증명에 액세스할 수 있는 자격 증명 소스를 생성합니다.
create-identity-source 명령의 --configuration 파라미터에서 사용할 Amazon Cognito 사용자 풀에 대한 다음 세부 정보가 포함된 config.txt 파일을 생성합니다.
{
"cognitoUserPoolConfiguration": {
"userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
"clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
"groupConfiguration": {
"groupEntityType": "MyCorp::UserGroup"
}
}
}
다음 명령을 실행하여 Amazon Cognito 자격 증명 소스를 생성합니다.
$ aws verifiedpermissions create-identity-source \
--configuration file://config.txt \
--principal-entity-type "User" \
--policy-store-id 123456789012
{
"createdDate": "2023-05-19T20:30:28.214829+00:00",
"identitySourceId": "ISEXAMPLEabcdefg111111",
"lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
"policyStoreId": "PSEXAMPLEabcdefg111111"
}
(선택 사항) 정책 스토어에 스키마가 있는 경우 Cedar 정책의 자격 증명 또는 액세스 토큰에서 추출한 속성을 참조하려면 먼저 Cedar가 자격 증명 소스가 생성하는 보안 주체 유형을 인식하도록 스키마를 업데이트해야 합니다. 스키마에 추가되는 항목에는 Cedar 정책에서 참조하려는 속성이 포함되어야 합니다. Amazon Cognito 토큰 속성을 Cedar 보안 주체 속성에 매핑하는 방법에 대한 자세한 내용은 Amazon Cognito 토큰 스키마 매핑을(를) 참조하세요.
API 연결 정책 저장소를 생성하거나 정책 저장소를 생성할 때 API Gateway 및 자격 증명 공급자로 설정을 사용하는 경우 Verified Permissions는 사용자 풀에서 사용자 속성을 쿼리하고 보안 주체 유형이 사용자 풀 속성으로 채워지는 스키마를 생성합니다.
토큰의 정보를 사용하여 권한 부여 결정을 내리는 정책을 생성합니다. 자세한 내용은 Amazon Verified Permissions 정적 정책 생성 단원을 참조하십시오.
이제 자격 증명 소스를 생성하고, 스키마를 업데이트하고, 정책을 생성했으므로 IsAuthorizedWithToken를 사용하여 Verified Permissions가 권한 부여 결정을 내리도록 합니다. 자세한 내용은 Amazon Verified Permissions API 참조 안내서의 IsAuthorizedWithToken을 참조하세요.
Verified Permissions에서 인증된 사용자를 위한 Amazon Cognito 액세스 및 자격 증명 토큰을 사용하는 방법에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 Amazon Verified Permissions를 통한 권한 부여를 참조하세요.
