Uso de roles vinculados a servicios para Amazon Cognito - Amazon Cognito
Permisos de roles vinculados a servicios para Amazon CognitoCreación de un rol vinculado a un servicio para Amazon CognitoEdición de un rol vinculado a un servicio para Amazon CognitoEliminación de un rol vinculado a un servicio para Amazon CognitoRegiones compatibles con los roles vinculados a servicios de Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Amazon Cognito

Amazon Cognito usa AWS Identity and Access Management (IAM) roles vinculados a servicios. Un rol vinculado a un servicio es un tipo de IAM rol único con una política de confianza que le permite asumir el rol. Servicio de AWS Amazon Cognito predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a AWS otros servicios en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Amazon Cognito porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon Cognito define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon Cognito puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra entidad. IAM

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon Cognito, ya que se evita que se puedan eliminar por accidente los permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios con los que se indica en la columna Función vinculada al servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Amazon Cognito

Amazon Cognito utiliza los siguientes roles vinculados a servicios:

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Permite que el servicio de grupos de usuarios de Amazon Cognito utilice SES sus identidades de Amazon para enviar correos electrónicos.

  • AWSServiceRoleForAmazonCognitoIdp— Permite a los grupos de usuarios de Amazon Cognito publicar eventos y configurar puntos de enlace para sus proyectos de Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

El rol vinculado al servicio AWSServiceRoleForAmazonCognitoIdpEmailService depende de los siguientes servicios para asumir el rol:

  • email.cognito-idp.amazonaws.com

La política de permisos del rol permite que Amazon Cognito realice las siguientes acciones en los recursos especificados:

Acciones permitidas para: AWSServiceRoleForAmazonCognitoIdpEmailService

  • Acción:ses:SendEmail y ses:SendRawEmail

  • Recurso: *

La política deniega a Amazon Cognito la capacidad para realizar las siguientes acciones en los recursos especificados:

Acciones denegadas

  • Acción: ses:List*

  • Recurso: *

Con estos permisos, Amazon Cognito puede usar sus direcciones de correo electrónico verificadas en Amazon SES únicamente para enviar correos electrónicos a sus usuarios. Amazon Cognito envía un correo electrónico a los usuarios cuando ejecutan ciertas acciones en la aplicación del cliente para un grupo de usuarios, como registrarse o restablecer una contraseña.

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM

AWSServiceRoleForAmazonCognitoIdp

El rol AWSServiceRoleForAmazonCognitoIdp vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • email.cognito-idp.amazonaws.com

La política de permisos del rol permite que Amazon Cognito realice las siguientes acciones en los recursos especificados:

Acciones permitidas para AWSServiceRoleForAmazonCognitoIdp

  • Acción: cognito-idp:Describe

  • Recurso: *

Con este permiso, Amazon Cognito puede llamar Describe a las operaciones de Amazon API Cognito por usted.

nota

Al integrar Amazon Cognito con Amazon Pinpoint createUserPoolClient mediante updateUserPoolClient y, los permisos de recursos se añadirán a SLR la política en línea. La política integrada proporcionará permisos mobiletargeting:UpdateEndpoint y mobiletargeting:PutEvents. Con estos permisos, Amazon Cognito puede publicar eventos y configurar puntos de conexión para los proyectos Pinpoint que integre con Cognito.

Creación de un rol vinculado a un servicio para Amazon Cognito

No necesita crear manualmente un rol vinculado a servicios. Cuando configura un grupo de usuarios para que utilice su SES configuración de Amazon para gestionar la AWS Management Console entrega de correo electrónico en Amazon Cognito AWS CLI, Amazon Cognito API crea el rol vinculado al servicio por usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando configura un grupo de usuarios para que utilice su SES configuración de Amazon para gestionar la entrega de correo electrónico, Amazon Cognito vuelve a crear el rol vinculado al servicio para usted.

Para que Amazon Cognito pueda crear este rol, los IAM permisos que utilice para configurar el grupo de usuarios deben incluir la iam:CreateServiceLinkedRole acción. Para obtener más información sobre la actualización de los permisos enIAM, consulte Cambiar los permisos de un IAM usuario en la Guía del IAM usuario.

Edición de un rol vinculado a un servicio para Amazon Cognito

No puede editar los roles AmazonCognitoIdp ni los AmazonCognitoIdpEmailService vinculados a un servicio en. AWS Identity and Access Management Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminación de un rol vinculado a un servicio para Amazon Cognito

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Si elimina el rol, solo conservará entidades que Amazon Cognito supervisa o mantiene activamente. Antes de poder eliminar funciones AmazonCognitoIdp o AmazonCognitoIdpEmailService vinculadas a un servicio, debe realizar una de las siguientes acciones para cada grupo de usuarios que utilice la función:

  • Eliminar el grupo de usuarios.

  • Actualizar la configuración de correo electrónico en el grupo de usuarios para utilizar la funcionalidad de correo electrónico predeterminada. La configuración predeterminada no utiliza el rol vinculado al servicio.

Recuerde realizar la acción en cada uno de ellos Región de AWS con un grupo de usuarios que utilice el rol.

nota

Si el servicio Amazon Cognito utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar un grupo de usuarios de Amazon Cognito

  1. Inicie sesión en la consola de Amazon Cognito AWS Management Console y ábrala en. https://console.aws.amazon.com/cognito

  2. Elija Administrar grupos de usuarios.

  3. En la página Your User Pools (Sus grupos de usuarios), seleccione el grupo de usuarios que desee eliminar.

  4. Elija Delete pool (Eliminar grupo).

  5. En la ventana Delete user pool (Eliminar grupo de usuarios), escriba delete y elija Delete pool (Eliminar grupo).

Para actualizar un grupo de usuarios de Amazon Cognito para utilizar la funcionalidad de correo electrónico predeterminada

  1. Inicie sesión en la consola de Amazon Cognito AWS Management Console y ábrala en. https://console.aws.amazon.com/cognito

  2. Elija Administrar grupos de usuarios.

  3. En la página Your User Pools (Sus grupos de usuarios), seleccione el grupo de usuarios que desee actualizar.

  4. En el menú de navegación de la izquierda, elija Message customizations (Personalizaciones de mensajes).

  5. En ¿Quieres enviar correos electrónicos a través de tu SES configuración de Amazon? , elija No: usar Cognito (predeterminado).

  6. Cuando termine de configurar las opciones de su cuenta de correo electrónico, seleccione Save changes (Guardar modificaciones).

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Utilice la IAM consola AWS CLI, el o el AWS API para eliminar AmazonCognitoIdp o vincular los roles al AmazonCognitoIdpEmailService servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones compatibles con los roles vinculados a servicios de Amazon Cognito

Amazon Cognito admite funciones vinculadas a servicios en todos los lugares en los que el servicio Regiones de AWS esté disponible. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.