Verwendung von serviceverknüpften Rollen für Amazon Cognito - Amazon Cognito
Serviceverknüpfte Rollenberechtigungen für Amazon CognitoErstellen einer serviceverknüpften Rolle für Amazon CognitoBearbeiten einer serviceverknüpften Rolle für Amazon CognitoLöschen einer serviceverknüpften Rolle für Amazon CognitoUnterstützte Regionen für Amazon Cognito serviceverknüpfte Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von serviceverknüpften Rollen für Amazon Cognito

Amazon Cognito verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle mit einer Vertrauensrichtlinie, die es einem AWS-Service ermöglicht, die Rolle zu übernehmen. Servicebezogene Rollen sind von Amazon Cognito vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon Cognito einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Cognito definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Cognito seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Amazon-Cognito-Ressourcen, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.

Informationen zu anderen Services, die servicegebundene Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Servicegebundene Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.

Serviceverknüpfte Rollenberechtigungen für Amazon Cognito

Amazon Cognito verwendet die folgenden serviceverknüpften Rollen.

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Ermöglicht dem Amazon Cognito Cognito-Benutzerpool-Service, Ihre Amazon SES SES-Identitäten zum Senden von E-Mails zu verwenden.

  • AWSServiceRoleForAmazonCognitoIdp— Ermöglicht Amazon Cognito Cognito-Benutzerpools, Ereignisse zu veröffentlichen und Endpunkte für Ihre Amazon Pinpoint Pinpoint-Projekte zu konfigurieren.

AWSServiceRoleForAmazonCognitoIdpEmailService

Die serviceverknüpfte Rolle AWSServiceRoleForAmazonCognitoIdpEmailService vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • email.cognito-idp.amazonaws.com

Die Richtlinie für Rollenberechtigungen erlaubt Amazon Cognito, die folgenden Aktionen auf den angegebenen Ressourcen durchzuführen:

Zulässige Aktionen für: AWSService RoleForAmazonCognitoIdpEmailService

  • Aktion: ses:SendEmail und ses:SendRawEmail

  • Ressource: *

Die Richtlinie verweigert Amazon Cognito die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:

Verweigerte Aktionen

  • Aktion: ses:List*

  • Ressource: *

Mit diesen Berechtigungen kann Amazon Cognito Ihre verifizierten E-Mail-Adressen in Amazon SES nur verwenden, um Ihren Benutzern eine E-Mail zu senden. Amazon Cognito sendet Ihren Benutzern E-Mails, wenn sie bestimmte Aktionen in der Client-App für einen Benutzerpool ausführen, z. B. sich anmelden oder ein Passwort zurücksetzen.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine servicegebundene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

AWSServiceRoleForAmazonCognitoIdp

Die AWSService RoleForAmazonCognitoIdp dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • email.cognito-idp.amazonaws.com

Die Richtlinie für Rollenberechtigungen erlaubt Amazon Cognito, die folgenden Aktionen auf den angegebenen Ressourcen durchzuführen:

Zulässige Aktionen für AWSService RoleForAmazonCognitoIdp

  • Aktion: cognito-idp:Describe

  • Ressource: *

Mit dieser Berechtigung kann Amazon Cognito Describe-Amazon-Cognito-API-Operationen für Sie aufrufen.

Anmerkung

Wenn Sie Amazon Cognito mit Amazon Pinpoint mithilfe von createUserPoolClient und updateUserPoolClient integrieren, werden Ressourcenberechtigungen als Inline-Richtlinie zum SLR hinzugefügt. Die Inline-Richtlinie stellt mobiletargeting:UpdateEndpoint- und mobiletargeting:PutEvents-Berechtigungen bereit. Diese Berechtigungen ermöglichen Amazon Cognito, Ereignisse zu veröffentlichen und Endpunkte für Pinpoint-Projekte zu konfigurieren, die Sie in Cognito integrieren.

Erstellen einer serviceverknüpften Rolle für Amazon Cognito

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Benutzerpool so konfigurieren, dass er Ihre Amazon SES SES-Konfiguration für die E-Mail-Zustellung in der AWS Management Console, der oder der AWS CLI Amazon Cognito-API verwendet, erstellt Amazon Cognito die serviceverknüpfte Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Benutzerpool so konfigurieren, dass er Ihre Amazon-SES-Konfiguration für die E-Mail-Zustellung verwendet, erstellt Amazon Cognito die serviceverknüpfte Rolle erneut für Sie.

Bevor Amazon Cognito diese Rolle erstellen kann, muss in die IAM-Berechtigung, die Sie zur Einrichtung des Benutzerpools verwenden, die iam:CreateServiceLinkedRole-Aktion eingefügt werden. Weitere Informationen zum Aktualisieren von Berechtigungen in IAM finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.

Bearbeiten einer serviceverknüpften Rolle für Amazon Cognito

Sie können die AmazonCognitoIdp oder die mit dem AmazonCognitoIdpEmailService Dienst verknüpften Rollen in nicht bearbeiten. AWS Identity and Access Management Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon Cognito

Wenn Sie eine Funktion oder einen Service, die bzw. der eine servicegebundene Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Wenn Sie die Rolle löschen, behalten Sie nur Entitäten bei, die Amazon Cognito aktiv überwacht oder verwaltet. Bevor Sie Rollen löschen AmazonCognitoIdp oder mit Diensten AmazonCognitoIdpEmailService verknüpfte Rollen löschen können, müssen Sie für jeden Benutzerpool, der die Rolle verwendet, einen der folgenden Schritte ausführen:

  • Benutzerpool löschen.

  • Die E-Mail-Einstellungen im Benutzerpool so aktualisieren, dass sie die Standard-E-Mail-Funktionalität verwenden. In der Standardeinstellung wird die serviceverknüpfte Rolle nicht verwendet.

Denken Sie daran, die Aktion jeweils AWS-Region mit einem Benutzerpool durchzuführen, der die Rolle verwendet.

Anmerkung

Wenn der Amazon-Cognito-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt der Löschvorgang möglicherweise fehl. Wenn das passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So löschen Sie einen Amazon-Cognito-Benutzerpool

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon Cognito Cognito-Konsole unterhttps://console.aws.amazon.com/cognito.

  2. Wählen Sie Manage User Pools (Benutzerpools verwalten).

  3. Wählen Sie auf der Seite Your User Pools (Eigene Benutzerpools) den Benutzerpool aus, den Sie löschen möchten.

  4. Wählen Sie Delete pool (Pool löschen).

  5. Geben Sie im Fenster Delete user pool (Benutzerpool löschen) delete ein, und klicken Sie auf Delete pool (Pool löschen).

So aktualisieren Sie einen Amazon-Cognito-Benutzerpool so, dass er die Standard-E-Mail-Funktionalität verwendet

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon Cognito Cognito-Konsole unterhttps://console.aws.amazon.com/cognito.

  2. Wählen Sie Manage User Pools (Benutzerpools verwalten).

  3. Wählen Sie auf der Seite Your User Pools (Eigene Benutzerpools) den Benutzerpool aus, den Sie aktualisieren möchten.

  4. Wählen Sie im Navigationsmenü auf der linken Seite die Option Message customizations (Nachrichtenanpassungen) aus.

  5. Wählen Sie unter Do you want to send emails through your Amazon SES Configuration? (Möchten Sie Ihre E-Mails über die Amazon SES-Konfiguration versenden?), wählen Sie die OptionNo - Use Cognito (Default) (Nein, Cognito verwenden [Standard]) aus.

  6. Wenn Sie alle Optionen für Ihr E-Mail-Konto eingerichtet haben, wählen Sie die Option Save changes (Änderungen speichern) aus.

So löschen Sie die servicegebundene Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um Rollen zu löschen AmazonCognitoIdp oder AmazonCognitoIdpEmailService serviceverknüpfte Rollen zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für Amazon Cognito serviceverknüpfte Rollen

Amazon Cognito unterstützt dienstbezogene Rollen überall AWS-Regionen dort, wo der Service verfügbar ist. Weitere Informationen finden Sie unter AWS-Regionen und Endpunkte.