Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon Cognito User Pools
Amazon Cognito User Pools (préfixe de service : cognito-idp) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon Cognito User Pools
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AddCustomAttributes | Accorde l'autorisation d'ajouter des attributs utilisateur au schéma du groupe d'utilisateurs | Écrire | |||
| AdminAddUserToGroup | Accorde l'autorisation d'ajouter un utilisateur à un groupe | Écrire | |||
| AdminConfirmSignUp | Accorde l'autorisation de confirmer l'inscription d'un utilisateur sans code de confirmation | Écrire | |||
| AdminCreateUser | Accorde l'autorisation de créer des utilisateurs et d'envoyer les messages de bienvenue par e-mail ou SMS | Écrire | |||
| AdminDeleteUser | Accorde l'autorisation de supprimer un utilisateur | Écrire | |||
| AdminDeleteUserAttributes | Accorde l'autorisation de supprimer les attributs d'un utilisateur | Écrire | |||
| AdminDisableProviderForUser | Accorde l'autorisation de dissocier un utilisateur de groupe d'utilisateurs d'un utilisateur de fournisseur d'identité (IdP) tiers | Écrire | |||
| AdminDisableUser | Accorde l'autorisation de désactiver un utilisateur | Écrire | |||
| AdminEnableUser | Accorde l'autorisation d'activer un utilisateur | Écrire | |||
| AdminForgetDevice | Accorde l'autorisation d'annuler l'enregistrement des périphériques d'un utilisateur | Écrire | |||
| AdminGetDevice | Accorde l'autorisation d'obtenir des informations sur les périphériques d'un utilisateur | Lecture | |||
| AdminGetUser | Accorde l'autorisation de rechercher un utilisateur par nom d'utilisateur | Lecture | |||
| AdminInitiateAuth | Accorde l'autorisation d'authentifier un utilisateur | Écrire | |||
| AdminLinkProviderForUser | Accorde l'autorisation d'associer un utilisateur de groupe d'utilisateurs à un utilisateur de fournisseur d'identité (IdP) tiers | Écrire | |||
| AdminListDevices | Accorde l'autorisation de répertorier les périphériques mémorisés d'un utilisateur | Liste | |||
| AdminListGroupsForUser | Accorde l'autorisation de répertorier les groupes auxquels un utilisateur appartient | Liste | |||
| AdminListUserAuthEvents | Accorde l'autorisation de répertorier les événements de connexion d'un utilisateur | Lecture | |||
| AdminRemoveUserFromGroup | Accorde l'autorisation de supprimer un utilisateur d'un groupe | Écrire | |||
| AdminResetUserPassword | Accorde l'autorisation de réinitialiser le mot de passe d'un utilisateur | Écrire | |||
| AdminRespondToAuthChallenge | Accorde l'autorisation de répondre à un défi d'authentification lors de l'authentification d'un utilisateur | Écrire | |||
| AdminSetUserMFAPreference | Accorde l'autorisation de définir la méthode MFA préférée d'un utilisateur | Écrire | |||
| AdminSetUserPassword | Accorde l'autorisation de définir le mot de passe d'un utilisateur | Écrire | |||
| AdminSetUserSettings | Accorde l'autorisation de définir les paramètres utilisateur d'un utilisateur | Écrire | |||
| AdminUpdateAuthEventFeedback | Accorde l'autorisation de mettre à jour les commentaires de sécurité avancés pour un événement d'authentification d'un utilisateur | Écrire | |||
| AdminUpdateDeviceStatus | Accorde l'autorisation de mettre à jour l'état des périphériques mémorisés d'un utilisateur | Écrire | |||
| AdminUpdateUserAttributes | Accorde l'autorisation de mettre à jour les attributs standard ou personnalisés d'un utilisateur | Écrire | |||
| AdminUserGlobalSignOut | Accorde l'autorisation de déconnecter un utilisateur de toutes les sessions | Écrire | |||
| AssociateSoftwareToken | Accorde l'autorisation de renvoyer un code de clé secrète partagé généré qui est unique pour l'utilisateur | Écrire | |||
| AssociateWebACL [autorisation uniquement] | Accorde l'autorisation d'associer le groupe d'utilisateurs à une AWS ACL Web WAF | Écrire | |||
| ChangePassword | Accorde l'autorisation de modifier le mot de passe pour un utilisateur spécifié dans un groupe d'utilisateurs | Écrire | |||
| ConfirmDevice | Accorde l'autorisation de confirmer le suivi de l'appareil. Cet appel d'API est l'appel qui démarre le suivi de l'appareil | Écrire | |||
| ConfirmForgotPassword | Autorise l'utilisateur à saisir un code de confirmation pour réinitialiser un mot de passe oublié | Écrire | |||
| ConfirmSignUp | Accorde l'autorisation de confirmer l'inscription d'un utilisateur et gère l'alias existant à partir d'un utilisateur précédent | Écrire | |||
| CreateGroup | Accorde l'autorisation de créer des groupes de groupes d'utilisateurs | Écrire | |||
| CreateIdentityProvider | Accorde l'autorisation d'ajouter des fournisseurs d'identité aux groupes d'utilisateurs | Écrire | |||
| CreateManagedLoginBranding | Accorde l'autorisation de créer des paramètres de marque pour la connexion gérée et de l'associer à un client d'application | Écrire | |||
| CreateResourceServer | Accorde l'autorisation de créer et de configurer des étendues pour les serveurs de ressources OAuth 2.0 | Écrire | |||
| CreateUserImportJob | Accorde l'autorisation de créer des tâches d'importation CSV d'utilisateur | Écrire | |||
| CreateUserPool | Accorde l'autorisation de créer et de définir une politique de mot de passe pour les groupes d'utilisateurs | Écrire | |||
| CreateUserPoolClient | Accorde l'autorisation de créer des clients applications d'un groupe d'utilisateurs | Écrire | |||
| CreateUserPoolDomain | Accorde l'autorisation d'ajouter des domaines de groupe d'utilisateurs | Écrire | |||
| DeleteGroup | Accorde l'autorisation de supprimer un groupe de groupes d'utilisateurs vide | Écrire | |||
| DeleteIdentityProvider | Accorde l'autorisation de supprimer un fournisseur d'identité des groupes d'utilisateurs | Écrire | |||
| DeleteManagedLoginBranding | Accorde l'autorisation de supprimer le style de marque de connexion géré pour n'importe quel client d'application | Écrire | |||
| DeleteResourceServer | Accorde l'autorisation de supprimer n'importe quel serveur de ressources OAuth 2.0 des groupes d'utilisateurs | Écrire | |||
| DeleteUser | Autorise un utilisateur à se supprimer | Écrire | |||
| DeleteUserAttributes | Accorde l'autorisation de supprimer les attributs d'un utilisateur | Écrire | |||
| DeleteUserPool | Accorde l'autorisation de supprimer des groupes d'utilisateurs | Écrire | |||
| DeleteUserPoolClient | Accorde l'autorisation de supprimer un client application d'un groupe d'utilisateurs | Écrire | |||
| DeleteUserPoolDomain | Accorde l'autorisation de supprimer un domaine de groupe d'utilisateurs | Écrire | |||
| DescribeIdentityProvider | Accorde l'autorisation de décrire le fournisseur d'identité d'un groupe d'utilisateurs | Lecture | |||
| DescribeManagedLoginBranding | Accorde l'autorisation d'obtenir des informations détaillées sur le style de marque de la connexion gérée | Lecture | |||
| DescribeManagedLoginBrandingByClient | Accorde l'autorisation d'obtenir des informations détaillées sur le style de marque de la connexion gérée associée à un client d'application | Lecture | |||
| DescribeResourceServer | Accorde l'autorisation de décrire n'importe quel serveur de ressources OAuth 2.0 | Lecture | |||
| DescribeRiskConfiguration | Accorde l'autorisation de décrire les paramètres de configuration des risques des groupes d'utilisateurs et des clients applications | Lecture | |||
| DescribeUserImportJob | Accorde l'autorisation de décrire une tâche d'importation d'un utilisateur | Lecture | |||
| DescribeUserPool | Accorde l'autorisation de décrire des groupes d'utilisateurs | Lecture | |||
| DescribeUserPoolClient | Accorde l'autorisation de décrire un client application d'un groupe d'utilisateurs | Lecture | |||
| DescribeUserPoolDomain | Accorde l'autorisation de décrire un domaine de groupe d'utilisateurs | Lecture | |||
| DisassociateWebACL [autorisation uniquement] | Accorde l'autorisation de dissocier le groupe d'utilisateurs d'une ACL AWS Web WAF | Écrire | |||
| ForgetDevice | Accorde l'autorisation d'oublier l'appareil spécifié | Écrire | |||
| ForgotPassword | Accorde l'autorisation d'envoyer un message à l'utilisateur final avec un code de confirmation requis pour modifier le mot de passe de l'utilisateur | Écrire | |||
| GetCSVHeader | Accorde l'autorisation de générer des en-têtes pour un fichier .csv d'importation d'utilisateur | Lecture | |||
| GetDevice | Accorde l'autorisation d'obtenir l'appareil | Lecture | |||
| GetGroup | Accorde l'autorisation de décrire un groupe de groupes d'utilisateurs | Lecture | |||
| GetIdentityProviderByIdentifier | Accorde l'autorisation de corréler l'identifiant de l'IdP d'un groupe d'utilisateurs avec le nom de l'IdP | Lecture | |||
| GetLogDeliveryConfiguration | Accorde l'autorisation d'obtenir la configuration détaillée de la journalisation des activités pour un groupe d'utilisateurs | Lecture | |||
| GetSigningCertificate | Accorde l'autorisation de rechercher des certificats de signature pour les groupes d'utilisateurs | Lecture | |||
| GetUICustomization | Accorde l'autorisation d'accéder aux informations de personnalisation de l'interface utilisateur pour l'interface utilisateur hébergée d'un client | Lecture | |||
| GetUser | Accorde l'autorisation d'obtenir les attributs utilisateur et les métadonnées pour un utilisateur | Lecture | |||
| GetUserAttributeVerificationCode | Accorde l'autorisation d'obtenir le code de vérification des attributs utilisateur pour le nom d'attribut spécifié | Lecture | |||
| GetUserPoolMfaConfig | Accorde l'autorisation de rechercher la configuration MFA des groupes d'utilisateurs | Lecture | |||
| GetWebACLForResource [autorisation uniquement] | Accorde l'autorisation d'obtenir l'ACL Web AWS WAF associée à un groupe d'utilisateurs Amazon Cognito | Lecture | |||
| GlobalSignOut | Accorde l'autorisation de déconnecter les utilisateurs de tous les appareils | Écrire | |||
| InitiateAuth | Accorde l'autorisation de lancer le flux d'authentification | Écrire | |||
| ListDevices | Accorde l'autorisation de répertorier les appareils | Liste | |||
| ListGroups | Accorde l'autorisation de répertorier tous les groupes dans les groupes d'utilisateurs | Liste | |||
| ListIdentityProviders | Accorde l'autorisation de répertorier tous les fournisseurs d'identité dans les groupes d'utilisateurs | Liste | |||
| ListResourceServers | Accorde l'autorisation de répertorier tous les serveurs de ressources dans les groupes d'utilisateurs | Liste | |||
| ListResourcesForWebACL [autorisation uniquement] | Accorde l'autorisation de répertorier les groupes d'utilisateurs associés à une AWS ACL Web WAF | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises qui sont assignées à un groupe d'utilisateurs Amazon Cognito | Liste | |||
| ListUserImportJobs | Accorde l'autorisation de répertorier toutes les tâches d'importation d'utilisateur | Liste | |||
| ListUserPoolClients | Accorde l'autorisation de répertorier tous les clients applications dans les groupes d'utilisateurs | Liste | |||
| ListUserPools | Accorde l'autorisation de répertorier tous les groupes d'utilisateurs | Liste | |||
| ListUsers | Accorde l'autorisation de répertorier tous les utilisateurs du groupe d'utilisateurs | Liste | |||
| ListUsersInGroup | Accorde l'autorisation de répertorier les utilisateurs dans un groupe | Liste | |||
| ResendConfirmationCode | Accorde l'autorisation de renvoyer la confirmation (pour la confirmation d'enregistrement) à un utilisateur spécifique dans le groupe d'utilisateurs | Écrire | |||
| RespondToAuthChallenge | Accorde l'autorisation de répondre à un défi d'authentification | Écrire | |||
| RevokeToken | Accorde l'autorisation de révoquer tous les jetons d'accès générés par le jeton d'actualisation spécifié | Écrire | |||
| SetLogDeliveryConfiguration | Accorde l'autorisation de configurer ou de modifier la configuration détaillée de la journalisation des activités d'un groupe d'utilisateurs | Écrire | |||
| SetRiskConfiguration | Accorde l'autorisation de définir la configuration des risques pour les groupes d'utilisateurs et les clients applications | Écrire | |||
| SetUICustomization | Accorde l'autorisation de personnaliser l'interface utilisateur hébergée pour un client application | Écrire | |||
| SetUserMFAPreference | Accorde l'autorisation de définir la préférence MFA pour l'utilisateur dans le groupe d'utilisateurs | Écrire | |||
| SetUserPoolMfaConfig | Accorde l'autorisation de définir la configuration MFA du groupe d'utilisateurs | Écrire | |||
| SetUserSettings | Accorde l'autorisation de définir les paramètres utilisateur, tels que l'authentification multifactorielle (MFA) | Écrire | |||
| SignUp | Accorde l'autorisation d'enregistrer l'utilisateur dans le groupe d'utilisateurs spécifié et crée un nom d'utilisateur, un mot de passe et des attributs utilisateur | Écrire | |||
| StartUserImportJob | Accorde l'autorisation de démarrer une tâche d'importation d'un utilisateur | Écrire | |||
| StopUserImportJob | Accorde l'autorisation d'arrêter une tâche d'importation d'un utilisateur | Écrire | |||
| TagResource | Accorde l'autorisation de placer une identification sur un groupe d'utilisateurs | Identification | |||
| UntagResource | Accorde l'autorisation de supprimer l'identification d'un groupe d'utilisateurs | Identification | |||
| UpdateAuthEventFeedback | Accorde l'autorisation de mettre à jour le commentaire pour l'événement d'authentification d'utilisateur | Écrire | |||
| UpdateDeviceStatus | Accorde l'autorisation de mettre à jour le statut du périphérique | Écrire | |||
| UpdateGroup | Accorde l'autorisation de mettre à jour la configuration d'un groupe | Écrire | |||
| UpdateIdentityProvider | Accorde l'autorisation de mettre à jour la configuration d'un groupe d'utilisateurs IdP | Écrire | |||
| UpdateManagedLoginBranding | Accorde l'autorisation de mettre à jour les paramètres de marque d'une connexion gérée | Écrire | |||
| UpdateResourceServer | Accorde l'autorisation de mettre à jour la configuration de n'importe quel serveur de ressources OAuth 2.0 | Écrire | |||
| UpdateUserAttributes | Autorise un utilisateur à mettre à jour un attribut spécifique (un par un) | Écrire | |||
| UpdateUserPool | Accorde l'autorisation de mettre à jour la configuration des groupes d'utilisateurs | Écrire | |||
| UpdateUserPoolClient | Accorde l'autorisation de mettre à jour un client groupe d'utilisateurs | Écrire | |||
| UpdateUserPoolDomain | Accorde l'autorisation de remplacer le certificat pour un domaine personnalisé | Écrire | |||
| VerifySoftwareToken | Accorde l'autorisation d'enregistrer le code TOTP saisi d'un utilisateur et marque le statut MFA du jeton logiciel de l'utilisateur comme vérifié en cas de succès | Écrire | |||
| VerifyUserAttribute | Accorde l'autorisation de vérifier un attribut utilisateur à l'aide d'un code de vérification à usage unique | Écrire |
Types de ressources définis par Amazon Cognito User Pools
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Clés de condition pour Amazon Cognito User Pools
Amazon Cognito User Pools définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction d'une clé présente dans la demande | ArrayOfString |
