Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon Cognito User Pools
Les groupes d'utilisateurs Amazon Cognito (préfixe de service :cognito-idp) fournissent les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation. IAM
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par Amazon Cognito User Pools
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AddCustomAttributes | Accorde l'autorisation d'ajouter des attributs utilisateur au schéma du groupe d'utilisateurs | Écrire | |||
| AdminAddUserToGroup | Accorde l'autorisation d'ajouter un utilisateur à un groupe | Écrire | |||
| AdminConfirmSignUp | Accorde l'autorisation de confirmer l'inscription d'un utilisateur sans code de confirmation | Écrire | |||
| AdminCreateUser | Accorde l'autorisation de créer de nouveaux utilisateurs et d'envoyer des messages de bienvenue par e-mail ou SMS | Écrire | |||
| AdminDeleteUser | Accorde l'autorisation de supprimer un utilisateur | Écrire | |||
| AdminDeleteUserAttributes | Accorde l'autorisation de supprimer les attributs d'un utilisateur | Écrire | |||
| AdminDisableProviderForUser | Accorde l'autorisation de dissocier un utilisateur de groupe d'utilisateurs d'un utilisateur de fournisseur d'identité (IdP) tiers | Écrire | |||
| AdminDisableUser | Accorde l'autorisation de désactiver un utilisateur | Écrire | |||
| AdminEnableUser | Accorde l'autorisation d'activer un utilisateur | Écrire | |||
| AdminForgetDevice | Accorde l'autorisation d'annuler l'enregistrement des périphériques d'un utilisateur | Écrire | |||
| AdminGetDevice | Accorde l'autorisation d'obtenir des informations sur les périphériques d'un utilisateur | Lecture | |||
| AdminGetUser | Accorde l'autorisation de rechercher un utilisateur par nom d'utilisateur | Lecture | |||
| AdminInitiateAuth | Accorde l'autorisation d'authentifier un utilisateur | Écrire | |||
| AdminLinkProviderForUser | Accorde l'autorisation d'associer un utilisateur de groupe d'utilisateurs à un utilisateur de fournisseur d'identité (IdP) tiers | Écrire | |||
| AdminListDevices | Accorde l'autorisation de répertorier les périphériques mémorisés d'un utilisateur | Liste | |||
| AdminListGroupsForUser | Accorde l'autorisation de répertorier les groupes auxquels un utilisateur appartient | Liste | |||
| AdminListUserAuthEvents | Accorde l'autorisation de répertorier les événements de connexion d'un utilisateur | Lecture | |||
| AdminRemoveUserFromGroup | Accorde l'autorisation de supprimer un utilisateur d'un groupe | Écrire | |||
| AdminResetUserPassword | Accorde l'autorisation de réinitialiser le mot de passe d'un utilisateur | Écrire | |||
| AdminRespondToAuthChallenge | Accorde l'autorisation de répondre à un défi d'authentification lors de l'authentification d'un utilisateur | Écrire | |||
| AdminSetUserMFAPreference | Accorde l'autorisation de définir la MFA méthode préférée de n'importe quel utilisateur | Écrire | |||
| AdminSetUserPassword | Accorde l'autorisation de définir le mot de passe d'un utilisateur | Écrire | |||
| AdminSetUserSettings | Accorde l'autorisation de définir les paramètres utilisateur d'un utilisateur | Écrire | |||
| AdminUpdateAuthEventFeedback | Accorde l'autorisation de mettre à jour les commentaires de sécurité avancés pour un événement d'authentification d'un utilisateur | Écrire | |||
| AdminUpdateDeviceStatus | Accorde l'autorisation de mettre à jour l'état des périphériques mémorisés d'un utilisateur | Écrire | |||
| AdminUpdateUserAttributes | Accorde l'autorisation de mettre à jour les attributs standard ou personnalisés d'un utilisateur | Écrire | |||
| AdminUserGlobalSignOut | Accorde l'autorisation de déconnecter un utilisateur de toutes les sessions | Écrire | |||
| AssociateSoftwareToken | Accorde l'autorisation de renvoyer un code de clé secrète partagé généré qui est unique pour l'utilisateur | Écrire | |||
| AssociateWebACL [autorisation uniquement] | Accorde l'autorisation d'associer le groupe d'utilisateurs à un AWS WAF site Web ACL | Écrire | |||
| ChangePassword | Accorde l'autorisation de modifier le mot de passe pour un utilisateur spécifié dans un groupe d'utilisateurs | Écrire | |||
| ConfirmDevice | Accorde l'autorisation de confirmer le suivi de l'appareil. Cet API appel est l'appel qui lance le suivi de l'appareil | Écrire | |||
| ConfirmForgotPassword | Autorise l'utilisateur à saisir un code de confirmation pour réinitialiser un mot de passe oublié | Écrire | |||
| ConfirmSignUp | Accorde l'autorisation de confirmer l'inscription d'un utilisateur et gère l'alias existant à partir d'un utilisateur précédent | Écrire | |||
| CreateGroup | Accorde l'autorisation de créer des groupes de groupes d'utilisateurs | Écrire | |||
| CreateIdentityProvider | Accorde l'autorisation d'ajouter des fournisseurs d'identité aux groupes d'utilisateurs | Écrire | |||
| CreateResourceServer | Accorde l'autorisation de créer et de configurer des étendues pour les serveurs de ressources OAuth 2.0 | Écrire | |||
| CreateUserImportJob | Autorise l'utilisateur à créer des tâches CSV d'importation | Écrire | |||
| CreateUserPool | Accorde l'autorisation de créer et de définir une politique de mot de passe pour les groupes d'utilisateurs | Écrire | |||
| CreateUserPoolClient | Accorde l'autorisation de créer des clients applications d'un groupe d'utilisateurs | Écrire | |||
| CreateUserPoolDomain | Accorde l'autorisation d'ajouter des domaines de groupe d'utilisateurs | Écrire | |||
| DeleteGroup | Accorde l'autorisation de supprimer un groupe de groupes d'utilisateurs vide | Écrire | |||
| DeleteIdentityProvider | Accorde l'autorisation de supprimer un fournisseur d'identité des groupes d'utilisateurs | Écrire | |||
| DeleteResourceServer | Accorde l'autorisation de supprimer n'importe quel serveur de ressources OAuth 2.0 des groupes d'utilisateurs | Écrire | |||
| DeleteUser | Autorise un utilisateur à se supprimer | Écrire | |||
| DeleteUserAttributes | Accorde l'autorisation de supprimer les attributs d'un utilisateur | Écrire | |||
| DeleteUserPool | Accorde l'autorisation de supprimer des groupes d'utilisateurs | Écrire | |||
| DeleteUserPoolClient | Accorde l'autorisation de supprimer un client application d'un groupe d'utilisateurs | Écrire | |||
| DeleteUserPoolDomain | Accorde l'autorisation de supprimer un domaine de groupe d'utilisateurs | Écrire | |||
| DescribeIdentityProvider | Accorde l'autorisation de décrire le fournisseur d'identité d'un groupe d'utilisateurs | Lecture | |||
| DescribeResourceServer | Accorde l'autorisation de décrire n'importe quel serveur de ressources OAuth 2.0 | Lecture | |||
| DescribeRiskConfiguration | Accorde l'autorisation de décrire les paramètres de configuration des risques des groupes d'utilisateurs et des clients applications | Lecture | |||
| DescribeUserImportJob | Accorde l'autorisation de décrire une tâche d'importation d'un utilisateur | Lecture | |||
| DescribeUserPool | Accorde l'autorisation de décrire des groupes d'utilisateurs | Lecture | |||
| DescribeUserPoolClient | Accorde l'autorisation de décrire un client application d'un groupe d'utilisateurs | Lecture | |||
| DescribeUserPoolDomain | Accorde l'autorisation de décrire un domaine de groupe d'utilisateurs | Lecture | |||
| DisassociateWebACL [autorisation uniquement] | Accorde l'autorisation de dissocier le groupe d'utilisateurs d'un site Web AWS WAF ACL | Écrire | |||
| ForgetDevice | Accorde l'autorisation d'oublier l'appareil spécifié | Écrire | |||
| ForgotPassword | Accorde l'autorisation d'envoyer un message à l'utilisateur final avec un code de confirmation requis pour modifier le mot de passe de l'utilisateur | Écrire | |||
| GetCSVHeader | Accorde l'autorisation de générer des en-têtes pour un fichier .csv d'importation d'utilisateur | Lecture | |||
| GetDevice | Accorde l'autorisation d'obtenir l'appareil | Lecture | |||
| GetGroup | Accorde l'autorisation de décrire un groupe de groupes d'utilisateurs | Lecture | |||
| GetIdentityProviderByIdentifier | Accorde l'autorisation de corréler l'identifiant de l'IdP d'un groupe d'utilisateurs avec le nom de l'IdP | Lecture | |||
| GetLogDeliveryConfiguration | Accorde l'autorisation d'obtenir la configuration détaillée de la journalisation des activités pour un groupe d'utilisateurs | Lecture | |||
| GetSigningCertificate | Accorde l'autorisation de rechercher des certificats de signature pour les groupes d'utilisateurs | Lecture | |||
| GetUICustomization | Accorde l'autorisation d'accéder aux informations de personnalisation de l'interface utilisateur pour l'interface utilisateur hébergée d'un client | Lecture | |||
| GetUser | Accorde l'autorisation d'obtenir les attributs utilisateur et les métadonnées pour un utilisateur | Lecture | |||
| GetUserAttributeVerificationCode | Accorde l'autorisation d'obtenir le code de vérification des attributs utilisateur pour le nom d'attribut spécifié | Lecture | |||
| GetUserPoolMfaConfig | Accorde l'autorisation de consulter la MFA configuration des groupes d'utilisateurs | Lecture | |||
| GetWebACLForResource [autorisation uniquement] | Accorde l'autorisation d'accéder au AWS WAF site Web ACL associé à un groupe d'utilisateurs Amazon Cognito | Lecture | |||
| GlobalSignOut | Accorde l'autorisation de déconnecter les utilisateurs de tous les appareils | Écrire | |||
| InitiateAuth | Accorde l'autorisation de lancer le flux d'authentification | Écrire | |||
| ListDevices | Accorde l'autorisation de répertorier les appareils | Liste | |||
| ListGroups | Accorde l'autorisation de répertorier tous les groupes dans les groupes d'utilisateurs | Liste | |||
| ListIdentityProviders | Accorde l'autorisation de répertorier tous les fournisseurs d'identité dans les groupes d'utilisateurs | Liste | |||
| ListResourceServers | Accorde l'autorisation de répertorier tous les serveurs de ressources dans les groupes d'utilisateurs | Liste | |||
| ListResourcesForWebACL [autorisation uniquement] | Accorde l'autorisation de répertorier les groupes d'utilisateurs associés à un AWS WAF site Web ACL | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises qui sont assignées à un groupe d'utilisateurs Amazon Cognito | Liste | |||
| ListUserImportJobs | Accorde l'autorisation de répertorier toutes les tâches d'importation d'utilisateur | Liste | |||
| ListUserPoolClients | Accorde l'autorisation de répertorier tous les clients applications dans les groupes d'utilisateurs | Liste | |||
| ListUserPools | Accorde l'autorisation de répertorier tous les groupes d'utilisateurs | Liste | |||
| ListUsers | Accorde l'autorisation de répertorier tous les utilisateurs du groupe d'utilisateurs | Liste | |||
| ListUsersInGroup | Accorde l'autorisation de répertorier les utilisateurs dans un groupe | Liste | |||
| ResendConfirmationCode | Accorde l'autorisation de renvoyer la confirmation (pour la confirmation d'enregistrement) à un utilisateur spécifique dans le groupe d'utilisateurs | Écrire | |||
| RespondToAuthChallenge | Accorde l'autorisation de répondre à un défi d'authentification | Écrire | |||
| RevokeToken | Accorde l'autorisation de révoquer tous les jetons d'accès générés par le jeton d'actualisation spécifié | Écrire | |||
| SetLogDeliveryConfiguration | Accorde l'autorisation de configurer ou de modifier la configuration détaillée de la journalisation des activités d'un groupe d'utilisateurs | Écrire | |||
| SetRiskConfiguration | Accorde l'autorisation de définir la configuration des risques pour les groupes d'utilisateurs et les clients applications | Écrire | |||
| SetUICustomization | Accorde l'autorisation de personnaliser l'interface utilisateur hébergée pour un client application | Écrire | |||
| SetUserMFAPreference | Accorde l'autorisation de définir les MFA préférences de l'utilisateur dans le groupe d'utilisateurs | Écrire | |||
| SetUserPoolMfaConfig | Accorde l'autorisation de définir la MFA configuration du groupe d'utilisateurs | Écrire | |||
| SetUserSettings | Accorde l'autorisation de définir les paramètres utilisateur tels que l'authentification multifactorielle () MFA | Écrire | |||
| SignUp | Accorde l'autorisation d'enregistrer l'utilisateur dans le groupe d'utilisateurs spécifié et crée un nom d'utilisateur, un mot de passe et des attributs utilisateur | Écrire | |||
| StartUserImportJob | Accorde l'autorisation de démarrer une tâche d'importation d'un utilisateur | Écrire | |||
| StopUserImportJob | Accorde l'autorisation d'arrêter une tâche d'importation d'un utilisateur | Écrire | |||
| TagResource | Accorde l'autorisation de placer une identification sur un groupe d'utilisateurs | Identification | |||
| UntagResource | Accorde l'autorisation de supprimer l'identification d'un groupe d'utilisateurs | Identification | |||
| UpdateAuthEventFeedback | Accorde l'autorisation de mettre à jour le commentaire pour l'événement d'authentification d'utilisateur | Écrire | |||
| UpdateDeviceStatus | Accorde l'autorisation de mettre à jour le statut du périphérique | Écrire | |||
| UpdateGroup | Accorde l'autorisation de mettre à jour la configuration d'un groupe | Écrire | |||
| UpdateIdentityProvider | Accorde l'autorisation de mettre à jour la configuration d'un groupe d'utilisateurs IdP | Écrire | |||
| UpdateResourceServer | Accorde l'autorisation de mettre à jour la configuration de n'importe quel serveur de ressources OAuth 2.0 | Écrire | |||
| UpdateUserAttributes | Autorise un utilisateur à mettre à jour un attribut spécifique (un par un) | Écrire | |||
| UpdateUserPool | Accorde l'autorisation de mettre à jour la configuration des groupes d'utilisateurs | Écrire | |||
| UpdateUserPoolClient | Accorde l'autorisation de mettre à jour un client groupe d'utilisateurs | Écrire | |||
| UpdateUserPoolDomain | Accorde l'autorisation de remplacer le certificat pour un domaine personnalisé | Écrire | |||
| VerifySoftwareToken | Accorde l'autorisation d'enregistrer le TOTP code saisi par un utilisateur et de marquer le MFA statut du jeton logiciel de l'utilisateur comme vérifié en cas de succès | Écrire | |||
| VerifyUserAttribute | Accorde l'autorisation de vérifier un attribut utilisateur à l'aide d'un code de vérification à usage unique | Écrire |
Types de ressources définis par Amazon Cognito User Pools
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Clés de condition pour Amazon Cognito User Pools
Les groupes d'utilisateurs Amazon Cognito définissent les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction d'une clé présente dans la demande | ArrayOfString |
