자격 증명 소스 및 토큰으로 애플리케이션 보호 - Amazon Verified Permissions
올바른 자격 증명 공급자 선택

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자격 증명 소스 및 토큰으로 애플리케이션 보호

Amazon Verified Permissions에서 외부 ID 제공업체(IdP)를 나타내는 ID 소스를 생성하여 애플리케이션을 빠르게 보호합니다. 자격 증명 소스는 정책 스토어와 신뢰 관계가 있는 IdP로 인증된 사용자의 정보를 제공합니다. 애플리케이션이 자격 증명 소스의 토큰으로 권한 부여를 요청할 때 정책 스토어는 사용자 속성 및 액세스 권한에서 권한 부여를 결정할 수 있습니다. Amazon Cognito 사용자 풀 또는 사용자 지정 OpenID Connect(OIDC) IdP를 ID 소스로 추가할 수 있습니다.

Verified Permissions와 함께 OpenID Connect(OIDC) ID 제공업체(IdPs)를 사용할 수 있습니다. 애플리케이션은 OIDC 준수 자격 증명 공급자가 생성한 JSON 웹 토큰(JWTs)을 사용하여 권한 부여 요청을 생성할 수 있습니다. 토큰의 사용자 자격 증명은 보안 주체 ID에 매핑됩니다. ID 토큰을 사용하면 Verified Permissions는 속성 클레임을 보안 주체 속성에 매핑합니다. 액세스 토큰을 사용하면 이러한 클레임이 컨텍스트에 매핑됩니다. 두 토큰 유형 모두와 같은 클레임을 보안 주체 그룹에 매핑하고 역할 기반 액세스 제어(RBAC)groups를 평가하는 정책을 구축할 수 있습니다.

참고

Verified Permissions는 IdP 토큰의 정보를 기반으로 권한 부여를 결정하지만 어떤 식으로든 IdP와 직접 상호 작용하지 않습니다.

Amazon Cognito 사용자 풀 또는 OIDC 자격 증명 공급자를 사용하여 Amazon API Gateway REST APIs에 대한 권한 부여 로직을 구축하는 step-by-step 연습은 Amazon Amazon Cognito에서 Amazon Verified Permissions를 사용하여 API Gateway APIs 권한 부여를 참조하거나 보안 블로그에서 자체 자격 증명 공급자를 가져옵니다. AWS

주제

올바른 자격 증명 공급자 선택

Verified Permissions는 다양한 IdPs에서 작동하지만 애플리케이션에서 사용할 IdP를 결정할 때는 다음 사항을 고려하세요.

다음과 같은 경우 Amazon Cognito를 사용합니다.

  • 기존 자격 증명 인프라 없이 새 애플리케이션을 구축하는 경우

  • 기본 보안 기능이 있는 원하는 AWS관리형 사용자 풀

  • 소셜 자격 증명 공급자 통합이 필요합니다.

  • 간소화된 토큰 관리를 원하는 경우

다음과 같은 경우 OIDC 공급자를 사용합니다.

  • 기존 자격 증명 인프라(Auth0, Okta, Azure AD)가 있는 경우

  • 중앙 집중식 사용자 관리를 유지해야 함

  • 특정 IdPs