Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per Amazon Cognito
Amazon Cognito utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo di IAM ruolo unico con una politica di fiducia che consente a un utente di assumere il ruolo. Servizio AWS I ruoli collegati ai servizi sono predefiniti da Amazon Cognito e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione di Amazon Cognito perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon Cognito definisce le autorizzazioni dei ruoli associati ai servizi e, salvo diversamente definito, solo Amazon Cognito può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Amazon Cognito perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, vedi AWS Servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni del ruolo collegato ai servizi per Amazon Cognito
Amazon Cognito utilizza i seguenti ruoli collegati ai servizi:
-
AWSServiceRoleForAmazonCognitoIdpEmailService— Consente al servizio di pool di utenti Amazon Cognito di utilizzare le tue SES identità Amazon per l'invio di e-mail.
-
AWSServiceRoleForAmazonCognitoIdp— Consente ai pool di utenti di Amazon Cognito di pubblicare eventi e configurare endpoint per i tuoi progetti Amazon Pinpoint.
AWSServiceRoleForAmazonCognitoIdpEmailService
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForAmazonCognitoIdpEmailService
considera attendibili i seguenti servizi:
-
email.cognito-idp.amazonaws.com
La policy delle autorizzazioni del ruolo consente ad Amazon Cognito di completare le seguenti operazioni sulle risorse specificate:
Azioni consentite per: AWSServiceRoleForAmazonCognitoIdpEmailService
-
Operazione:
ses:SendEmail
eses:SendRawEmail
-
Risorsa:
*
La policy impedisce a Amazon Cognito di completare le seguenti operazioni sulle risorse specificate:
Operazioni rifiutate
-
Operazione:
ses:List*
-
Risorsa:
*
Con queste autorizzazioni, Amazon Cognito può utilizzare i tuoi indirizzi e-mail verificati su SES Amazon solo per inviare e-mail ai tuoi utenti. Amazon Cognito invia e-mail agli utenti quando eseguono alcune operazioni nell'app client per un bacino d'utenza, ad esempio quando accedono o reimpostano una password.
Devi configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM
AWSServiceRoleForAmazonCognitoIdp
Il ruolo AWSServiceRoleForAmazonCognitoIdp collegato al servizio prevede che i seguenti servizi assumano il ruolo:
-
email.cognito-idp.amazonaws.com
La policy delle autorizzazioni del ruolo consente ad Amazon Cognito di completare le seguenti operazioni sulle risorse specificate:
Azioni consentite per AWSServiceRoleForAmazonCognitoIdp
-
Operazione:
cognito-idp:Describe
-
Risorsa:
*
Con questa autorizzazione, Amazon Cognito può chiamare le operazioni di Amazon Describe
API Cognito per te.
Nota
Quando integri Amazon Cognito con Amazon Pinpoint createUserPoolClient
utilizzando updateUserPoolClient
e, le autorizzazioni per le risorse verranno aggiunte come policy in lineaSLR. La policy in linea fornirà le autorizzazioni mobiletargeting:UpdateEndpoint
e mobiletargeting:PutEvents
. Queste autorizzazioni consentono ad Amazon Cognito di pubblicare eventi e configurare endpoint per i progetti Pinpoint integrati con Cognito.
Creazione di un ruolo collegato ai servizi per Amazon Cognito
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando configuri un pool di utenti per utilizzare la tua SES configurazione Amazon per gestire la AWS Management Console consegna delle e-mail in Amazon Cognito o Amazon CognitoAPI, Amazon Cognito crea il ruolo collegato al servizio per te. AWS CLI
Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando configuri un pool di utenti per utilizzare la tua SES configurazione Amazon per gestire la consegna delle e-mail, Amazon Cognito crea nuovamente il ruolo collegato al servizio per te.
Prima che Amazon Cognito possa creare questo ruolo, le IAM autorizzazioni utilizzate per configurare il pool di utenti devono includere l'azione. iam:CreateServiceLinkedRole
Per ulteriori informazioni sull'aggiornamento delle autorizzazioni inIAM, consulta Modifica delle autorizzazioni per un IAM utente nella Guida per l'utente. IAM
Modifica di un ruolo collegato ai servizi per Amazon Cognito
Non è possibile modificare i ruoli AmazonCognitoIdp o i ruoli collegati al AmazonCognitoIdpEmailService servizio in. AWS Identity and Access Management Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.
Eliminazione di un ruolo collegato ai servizi per Amazon Cognito
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. Se elimini il ruolo, mantieni solo le entità che Amazon Cognito monitora o mantiene attivamente. Prima di poter eliminare i ruoli AmazonCognitoIdp o AmazonCognitoIdpEmailService quelli collegati al servizio, è necessario eseguire una delle seguenti operazioni per ogni pool di utenti che utilizza il ruolo:
-
Eliminare il bacino d'utenza.
-
Aggiornare le impostazioni e-mail nel bacino d'utenza in modo da utilizzare la funzionalità e-mail predefinita. L'impostazione di default non utilizza il ruolo collegato al servizio.
Ricordati di eseguire l'azione in ognuno di essi Regione AWS con un pool di utenti che utilizza il ruolo.
Nota
Se il servizio Amazon Cognito utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non riesca. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Come eliminare un bacino d'utenza Amazon Cognito
-
Accedi AWS Management Console e apri la console Amazon Cognito all'indirizzo. https://console.aws.amazon.com/cognito
-
Scegli Manage User Pools (Gestisci pool di utenti).
-
Nella pagina Your User Pools (I tuoi pool di utenti), scegli il bacino d'utenza da eliminare.
-
Scegli Delete pool (Elimina pool).
-
Nella finestra Delete user pool (Elimina pool di utenti), digita
delete
e seleziona Elimina pool.
Per aggiornare un bacino d'utenza di Amazon Cognito in modo che utilizzi la funzionalità e-mail di default
-
Accedi AWS Management Console e apri la console Amazon Cognito all'indirizzo. https://console.aws.amazon.com/cognito
-
Scegli Manage User Pools (Gestisci pool di utenti).
-
Nella pagina Your User Pools (I tuoi pool di utenti), scegli il bacino d'utenza da aggiornare.
-
Nel menu di navigazione a sinistra, seleziona Message customizations (Personalizzazioni di messaggio).
-
In Vuoi inviare e-mail tramite la tua SES configurazione Amazon? , scegliete No - Usa Cognito (impostazione predefinita).
-
Una volta completata la configurazione delle opzioni dell'account e-mail, seleziona Save changes (Salva modifiche).
Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM
Usa la IAM console AWS CLI, il o il AWS API per eliminare i ruoli o quelli collegati AmazonCognitoIdp al AmazonCognitoIdpEmailService servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM
Regioni supportate per i ruoli collegati ai servizi di Amazon Cognito
Amazon Cognito supporta ruoli collegati al servizio Regioni AWS ovunque il servizio sia disponibile. Per ulteriori informazioni, consulta Regioni AWS ed endpoint.