将属性用于访问控制与 Amazon Cognito 身份池一起使用 - Amazon Cognito
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将属性用于访问控制与 Amazon Cognito 身份池一起使用

在使用属性进行访问控制之前,请确保满足以下先决条件:

要使用属性进行访问控制,您必须配置委托人的标签密钥属性名称。In委托人的标签密钥值用于匹配PrincipalTag条件。The value in 属性名称是要在策略中评估其值的属性的名称。

将属性用于身份池的访问控制

  1. 打开 Amazon Cognito 控制台。

  2. 选择 Manage Identity Pools (管理身份池)

  3. 在仪表板上,选择要使用属性进行访问控制的身份池的名称。

  4. 选择编辑身份池

  5. 展开 Authentication providers 部分。

  6. 身份证提供商部分中,选择要使用的提供商选项卡。

  7. In访问控制属性中,选择默认属性映射或者自定义属性映射。每个提供商的默认映射有所不同。有关更多信息,请参阅 。默认提供商映射获取访问控制属性。

  8. 如果选择自定义属性映射,请完成以下步骤。

    1. In委托人的标签密钥中,输入您的自定义文本。最大长度为 128 个字符。

    2. In属性名称中,输入来自提供程序令牌或 SAML 断言的属性名称。您可以从提供商开发人员指南中获取 IdPs 的属性名称。属性名称最多包含 256 个字符。此外,所有属性的聚合字符限制为 460 字节。

    3. (可选)添加其他提供商。您可以在控制台中为 Amazon Cognito 用户池、OIDC 和 SAML 提供商添加多个提供商。例如,您可以将两个 Amazon Cognito 用户池添加为两个独立的身份提供商。Amazon Cognito 将每个选项卡视为不同的 IIdPs。您可以为每个 IdP 单独配置访问控制的属性。

    4. 要完成操作,请使用 IAM 控制台创建包含默认映射或您在委托人的标签密钥。有关在 IAM 中创建权限策略的教程,请参阅IAM 教程:定义访问权限Amazon基于标签的资源中的IAM 用户指南