Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk Kumpulan Pengguna Amazon Cognito
Kumpulan Pengguna Amazon Cognito (awalan layanan:cognito-idp) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh Amazon Cognito User Pools
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| AddCustomAttributes | Memberikan izin untuk menambahkan atribut pengguna ke skema kumpulan pengguna | Tulis | |||
| AdminAddUserToGroup | Memberikan izin untuk menambahkan pengguna ke grup mana pun | Tulis | |||
| AdminConfirmSignUp | Memberikan izin untuk mengonfirmasi pendaftaran pengguna tanpa kode konfirmasi | Tulis | |||
| AdminCreateUser | Memberikan izin untuk membuat pengguna baru dan mengirim pesan selamat datang melalui email atau SMS | Tulis | |||
| AdminDeleteUser | Memberikan izin untuk menghapus pengguna | Tulis | |||
| AdminDeleteUserAttributes | Memberikan izin untuk menghapus atribut dari pengguna mana pun | Tulis | |||
| AdminDisableProviderForUser | Memberikan izin untuk memutuskan tautan pengguna pool pengguna dari pengguna penyedia identitas pihak ketiga (iDP) | Tulis | |||
| AdminDisableUser | Memberikan izin untuk menonaktifkan pengguna mana pun | Tulis | |||
| AdminEnableUser | Memberikan izin untuk mengaktifkan pengguna mana pun | Tulis | |||
| AdminForgetDevice | Memberikan izin untuk membatalkan pendaftaran perangkat pengguna mana pun | Tulis | |||
| AdminGetDevice | Memberikan izin untuk mendapatkan informasi tentang perangkat pengguna mana pun | Baca | |||
| AdminGetUser | Memberikan izin untuk mencari pengguna berdasarkan nama pengguna | Baca | |||
| AdminInitiateAuth | Memberikan izin untuk mengautentikasi setiap pengguna | Tulis | |||
| AdminLinkProviderForUser | Memberikan izin untuk menautkan pengguna pool pengguna ke pengguna iDP pihak ketiga | Tulis | |||
| AdminListDevices | Memberikan izin untuk membuat daftar perangkat yang diingat pengguna | Daftar | |||
| AdminListGroupsForUser | Memberikan izin untuk membuat daftar grup yang dimiliki pengguna mana pun | Daftar | |||
| AdminListUserAuthEvents | Memberikan izin untuk mencantumkan peristiwa masuk untuk pengguna mana pun | Baca | |||
| AdminRemoveUserFromGroup | Memberikan izin untuk menghapus pengguna dari grup mana pun | Tulis | |||
| AdminResetUserPassword | Memberikan izin untuk mengatur ulang kata sandi pengguna | Tulis | |||
| AdminRespondToAuthChallenge | Memberikan izin untuk menanggapi tantangan otentikasi selama otentikasi pengguna mana pun | Tulis | |||
| AdminSetUserMFAPreference | Memberikan izin untuk mengatur metode MFA pilihan pengguna mana pun | Tulis | |||
| AdminSetUserPassword | Memberikan izin untuk mengatur kata sandi pengguna | Tulis | |||
| AdminSetUserSettings | Memberikan izin untuk mengatur pengaturan pengguna untuk setiap pengguna | Tulis | |||
| AdminUpdateAuthEventFeedback | Memberikan izin untuk memperbarui umpan balik keamanan tingkat lanjut untuk setiap peristiwa otentikasi pengguna | Tulis | |||
| AdminUpdateDeviceStatus | Memberikan izin untuk memperbarui status perangkat yang diingat pengguna | Tulis | |||
| AdminUpdateUserAttributes | Memberikan izin untuk memperbarui atribut standar atau kustom pengguna | Tulis | |||
| AdminUserGlobalSignOut | Memberikan izin untuk keluar dari setiap pengguna dari semua sesi | Tulis | |||
| AssociateSoftwareToken | Memberikan izin untuk mengembalikan kode kunci rahasia bersama unik yang dihasilkan untuk pengguna | Tulis | |||
| AssociateWebACL[hanya izin] | Memberikan izin untuk mengaitkan kumpulan pengguna dengan ACL web AWS WAF | Tulis | |||
| ChangePassword | Memberikan izin untuk mengubah kata sandi untuk pengguna tertentu di kumpulan pengguna | Tulis | |||
| ConfirmDevice | Memberikan izin untuk mengonfirmasi pelacakan perangkat. Panggilan API ini adalah panggilan yang memulai pelacakan perangkat | Tulis | |||
| ConfirmForgotPassword | Memberikan izin untuk mengizinkan pengguna memasukkan kode konfirmasi untuk mengatur ulang kata sandi yang terlupakan | Tulis | |||
| ConfirmSignUp | Memberikan izin untuk mengonfirmasi pendaftaran pengguna dan menangani alias yang ada dari pengguna sebelumnya | Tulis | |||
| CreateGroup | Memberikan izin untuk membuat grup kumpulan pengguna baru | Tulis | |||
| CreateIdentityProvider | Memberikan izin untuk menambahkan penyedia identitas ke kumpulan pengguna | Tulis | |||
| CreateManagedLoginBranding | Memberikan izin untuk membuat setelan branding untuk login terkelola dan mengaitkannya dengan klien aplikasi | Tulis | |||
| CreateResourceServer | Memberikan izin untuk membuat dan mengonfigurasi cakupan untuk server sumber daya OAuth 2.0 | Tulis | |||
| CreateUserImportJob | Memberikan izin untuk membuat pekerjaan impor CSV pengguna | Tulis | |||
| CreateUserPool | Memberikan izin untuk membuat dan menetapkan kebijakan kata sandi untuk kumpulan pengguna | Tulis | |||
| CreateUserPoolClient | Memberikan izin untuk membuat klien aplikasi kumpulan pengguna | Tulis | |||
| CreateUserPoolDomain | Memberikan izin untuk menambahkan domain kumpulan pengguna | Tulis | |||
| DeleteGroup | Memberikan izin untuk menghapus grup kumpulan pengguna yang kosong | Tulis | |||
| DeleteIdentityProvider | Memberikan izin untuk menghapus penyedia identitas apa pun dari kumpulan pengguna | Tulis | |||
| DeleteManagedLoginBranding | Memberikan izin untuk menghapus gaya branding login terkelola untuk klien aplikasi apa pun | Tulis | |||
| DeleteResourceServer | Memberikan izin untuk menghapus server sumber daya OAuth 2.0 dari kumpulan pengguna | Tulis | |||
| DeleteUser | Memberikan izin untuk mengizinkan pengguna menghapus diri sendiri | Tulis | |||
| DeleteUserAttributes | Memberikan izin untuk menghapus atribut untuk pengguna | Tulis | |||
| DeleteUserPool | Memberikan izin untuk menghapus kumpulan pengguna | Tulis | |||
| DeleteUserPoolClient | Memberikan izin untuk menghapus klien aplikasi kumpulan pengguna | Tulis | |||
| DeleteUserPoolDomain | Memberikan izin untuk menghapus domain pool pengguna | Tulis | |||
| DescribeIdentityProvider | Memberikan izin untuk mendeskripsikan penyedia identitas kumpulan pengguna | Baca | |||
| DescribeManagedLoginBranding | Memberikan izin untuk mendapatkan informasi rinci tentang gaya branding login terkelola | Baca | |||
| DescribeManagedLoginBrandingByClient | Memberikan izin untuk mendapatkan informasi rinci tentang gaya branding login terkelola yang terkait dengan appclient | Baca | |||
| DescribeResourceServer | Memberikan izin untuk mendeskripsikan server sumber daya OAuth 2.0 | Baca | |||
| DescribeRiskConfiguration | Memberikan izin untuk menjelaskan pengaturan konfigurasi risiko kumpulan pengguna dan klien aplikasi | Baca | |||
| DescribeUserImportJob | Memberikan izin untuk mendeskripsikan pekerjaan impor pengguna | Baca | |||
| DescribeUserPool | Memberikan izin untuk mendeskripsikan kumpulan pengguna | Baca | |||
| DescribeUserPoolClient | Memberikan izin untuk mendeskripsikan klien aplikasi kumpulan pengguna | Baca | |||
| DescribeUserPoolDomain | Memberikan izin untuk mendeskripsikan domain kumpulan pengguna apa pun | Baca | |||
| DisassociateWebACL[hanya izin] | Memberikan izin untuk memisahkan kumpulan pengguna dengan ACL web AWS WAF | Tulis | |||
| ForgetDevice | Memberikan izin untuk melupakan perangkat yang ditentukan | Tulis | |||
| ForgotPassword | Memberikan izin untuk mengirim pesan ke pengguna akhir dengan kode konfirmasi yang diperlukan untuk mengubah kata sandi pengguna | Tulis | |||
| GetCSVHeader | Memberikan izin untuk menghasilkan header untuk mengimpor file.csv pengguna | Baca | |||
| GetDevice | Memberikan izin untuk mendapatkan perangkat | Baca | |||
| GetGroup | Memberikan izin untuk mendeskripsikan grup kumpulan pengguna | Baca | |||
| GetIdentityProviderByIdentifier | Memberikan izin untuk mengkorelasikan pengenal IDP pool pengguna dengan Nama iDP | Baca | |||
| GetLogDeliveryConfiguration | Memberikan izin untuk mendapatkan konfigurasi pencatatan aktivitas terperinci untuk kumpulan pengguna | Baca | |||
| GetSigningCertificate | Memberikan izin untuk mencari sertifikat penandatanganan untuk kumpulan pengguna | Baca | |||
| GetUICustomization | Memberikan izin untuk mendapatkan informasi kustomisasi UI untuk UI yang dihosting dari klien aplikasi apa pun | Baca | |||
| GetUser | Memberikan izin untuk mendapatkan atribut dan metadata pengguna untuk pengguna | Baca | |||
| GetUserAttributeVerificationCode | Memberikan izin untuk mendapatkan kode verifikasi atribut pengguna untuk nama atribut yang ditentukan | Baca | |||
| GetUserPoolMfaConfig | Memberikan izin untuk mencari konfigurasi MFA dari kumpulan pengguna | Baca | |||
| GetWebACLForResource[hanya izin] | Memberikan izin untuk mendapatkan ACL web AWS WAF yang terkait dengan kumpulan pengguna Amazon Cognito | Baca | |||
| GlobalSignOut | Memberikan izin untuk mengeluarkan pengguna dari semua perangkat | Tulis | |||
| InitiateAuth | Memberikan izin untuk memulai alur otentikasi | Tulis | |||
| ListDevices | Memberikan izin untuk membuat daftar perangkat | Daftar | |||
| ListGroups | Memberikan izin untuk mencantumkan semua grup di kumpulan pengguna | Daftar | |||
| ListIdentityProviders | Memberikan izin untuk mencantumkan semua penyedia identitas di kumpulan pengguna | Daftar | |||
| ListResourceServers | Memberikan izin untuk mencantumkan semua server sumber daya di kumpulan pengguna | Daftar | |||
| ListResourcesForWebACL[hanya izin] | Memberikan izin untuk membuat daftar kumpulan pengguna yang terkait dengan ACL web AWS WAF | Daftar | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan tag yang ditetapkan ke kumpulan pengguna Amazon Cognito | Daftar | |||
| ListUserImportJobs | Memberikan izin untuk mencantumkan semua pekerjaan impor pengguna | Daftar | |||
| ListUserPoolClients | Memberikan izin untuk mencantumkan semua klien aplikasi di kumpulan pengguna | Daftar | |||
| ListUserPools | Memberikan izin untuk membuat daftar semua kumpulan pengguna | Daftar | |||
| ListUsers | Memberikan izin untuk mencantumkan semua pengguna kumpulan pengguna | Daftar | |||
| ListUsersInGroup | Memberikan izin untuk mencantumkan pengguna di grup mana pun | Daftar | |||
| ResendConfirmationCode | Memberikan izin untuk mengirim ulang konfirmasi (untuk konfirmasi pendaftaran) ke pengguna tertentu di kumpulan pengguna | Tulis | |||
| RespondToAuthChallenge | Memberikan izin untuk menanggapi tantangan otentikasi | Tulis | |||
| RevokeToken | Memberikan izin untuk mencabut semua token akses yang dihasilkan oleh token penyegaran yang ditentukan | Tulis | |||
| SetLogDeliveryConfiguration | Memberikan izin untuk menyiapkan atau memodifikasi konfigurasi pencatatan aktivitas terperinci dari kumpulan pengguna | Tulis | |||
| SetRiskConfiguration | Memberikan izin untuk mengatur konfigurasi risiko untuk kumpulan pengguna dan klien aplikasi | Tulis | |||
| SetUICustomization | Memberikan izin untuk menyesuaikan UI yang dihosting untuk klien aplikasi apa pun | Tulis | |||
| SetUserMFAPreference | Memberikan izin untuk mengatur preferensi MFA untuk pengguna di userpool | Tulis | |||
| SetUserPoolMfaConfig | Memberikan izin untuk mengatur konfigurasi MFA kumpulan pengguna | Tulis | |||
| SetUserSettings | Memberikan izin untuk mengatur pengaturan pengguna seperti otentikasi multi-faktor (MFA) | Tulis | |||
| SignUp | Memberikan izin untuk mendaftarkan pengguna di kumpulan pengguna yang ditentukan dan membuat nama pengguna, kata sandi, dan atribut pengguna | Tulis | |||
| StartUserImportJob | Memberikan izin untuk memulai pekerjaan impor pengguna | Tulis | |||
| StopUserImportJob | Memberikan izin untuk menghentikan pekerjaan impor pengguna | Tulis | |||
| TagResource | Memberikan izin untuk menandai kumpulan pengguna | Penandaan | |||
| UntagResource | Memberikan izin untuk menghapus tag kumpulan pengguna | Penandaan | |||
| UpdateAuthEventFeedback | Memberikan izin untuk memperbarui umpan balik untuk acara otentikasi pengguna | Tulis | |||
| UpdateDeviceStatus | Memberikan izin untuk memperbarui status perangkat | Tulis | |||
| UpdateGroup | Memberikan izin untuk memperbarui konfigurasi grup mana pun | Tulis | |||
| UpdateIdentityProvider | Memberikan izin untuk memperbarui konfigurasi setiap kumpulan pengguna IDP | Tulis | |||
| UpdateManagedLoginBranding | Memberikan izin untuk memperbarui pengaturan branding dari login terkelola | Tulis | |||
| UpdateResourceServer | Memberikan izin untuk memperbarui konfigurasi server sumber daya OAuth 2.0 | Tulis | |||
| UpdateUserAttributes | Memberikan izin untuk mengizinkan pengguna memperbarui atribut tertentu (satu per satu) | Tulis | |||
| UpdateUserPool | Memberikan izin untuk memperbarui konfigurasi kumpulan pengguna | Tulis | |||
| UpdateUserPoolClient | Memberikan izin untuk memperbarui klien kumpulan pengguna | Tulis | |||
| UpdateUserPoolDomain | Memberikan izin untuk mengganti sertifikat untuk domain kustom apa pun | Tulis | |||
| VerifySoftwareToken | Memberikan izin untuk mendaftarkan kode TOTP yang dimasukkan pengguna dan menandai status MFA token perangkat lunak pengguna sebagai terverifikasi jika berhasil | Tulis | |||
| VerifyUserAttribute | Memberikan izin untuk memverifikasi atribut pengguna menggunakan kode verifikasi satu kali | Tulis |
Jenis sumber daya yang ditentukan oleh Amazon Cognito User Pools
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
Kunci kondisi untuk Kolam Pengguna Amazon Cognito
Kumpulan Pengguna Amazon Cognito mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Memfilter akses dengan adanya pasangan nilai kunci tag dalam permintaan | String |
| aws:ResourceTag/${TagKey} | Memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya | String |
| aws:TagKeys | Memfilter akses dengan kunci yang ada dalam permintaan | ArrayOfString |
