Utilizzo di ruoli collegati ai servizi per Amazon Cognito - Amazon Cognito
Autorizzazioni del ruolo collegato ai servizi per Amazon CognitoCreazione di un ruolo collegato ai servizi per Amazon CognitoModifica di un ruolo collegato ai servizi per Amazon CognitoEliminazione di un ruolo collegato ai servizi per Amazon CognitoRegioni supportate per i ruoli collegati ai servizi di Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Amazon Cognito

Amazon Cognito utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM con una politica di fiducia che consente a un utente di assumere il ruolo. Servizio AWS I ruoli collegati ai servizi sono predefiniti da Amazon Cognito e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato ai servizi semplifica la configurazione di Amazon Cognito perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon Cognito definisce le autorizzazioni dei ruoli associati ai servizi e, salvo diversamente definito, solo Amazon Cognito può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Amazon Cognito perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo collegato ai servizi. Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Amazon Cognito

Amazon Cognito utilizza i seguenti ruoli collegati ai servizi:

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Consente al servizio di pool di utenti Amazon Cognito di utilizzare le identità Amazon SES per l'invio di e-mail.

  • AWSServiceRoleForAmazonCognitoIdp— Consente ai pool di utenti di Amazon Cognito di pubblicare eventi e configurare endpoint per i tuoi progetti Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForAmazonCognitoIdpEmailService considera attendibili i seguenti servizi:

  • email.cognito-idp.amazonaws.com

La policy delle autorizzazioni del ruolo consente ad Amazon Cognito di completare le seguenti operazioni sulle risorse specificate:

Azioni consentite per: AWSService RoleForAmazonCognitoIdpEmailService

  • Operazione: ses:SendEmail e ses:SendRawEmail

  • Resource: *

La policy impedisce a Amazon Cognito di completare le seguenti operazioni sulle risorse specificate:

Operazioni rifiutate

  • Operazione: ses:List*

  • Resource: *

Con queste autorizzazioni, Amazon Cognito può utilizzare gli indirizzi e-mail verificati in Amazon SES solo per inviare e-mail ai tuoi utenti. Amazon Cognito invia e-mail agli utenti quando eseguono alcune operazioni nell'app client per un bacino d'utenza, ad esempio quando accedono o reimpostano una password.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

AWSServiceRoleForAmazonCognitoIdp

Il ruolo AWSService RoleForAmazonCognitoIdp collegato al servizio prevede che i seguenti servizi assumano il ruolo:

  • email.cognito-idp.amazonaws.com

La policy delle autorizzazioni del ruolo consente ad Amazon Cognito di completare le seguenti operazioni sulle risorse specificate:

Azioni consentite per AWSService RoleForAmazonCognitoIdp

  • Operazione: cognito-idp:Describe

  • Resource: *

Con questa autorizzazione, Amazon Cognito può chiamare le operazioni API Describe di Amazon Cognito per tuo conto.

Nota

Quando integri Amazon Cognito con Amazon Pinpoint utilizzando createUserPoolClient e updateUserPoolClient, le autorizzazioni della risorsa verranno aggiunte all'SLR come policy in linea. La policy in linea fornirà le autorizzazioni mobiletargeting:UpdateEndpoint e mobiletargeting:PutEvents. Queste autorizzazioni consentono ad Amazon Cognito di pubblicare eventi e configurare endpoint per i progetti Pinpoint integrati con Cognito.

Creazione di un ruolo collegato ai servizi per Amazon Cognito

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando configuri un pool di utenti per utilizzare la configurazione di Amazon SES per gestire la AWS Management Console consegna delle e-mail nell'API Amazon Cognito AWS CLI, Amazon Cognito crea il ruolo collegato al servizio per te.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando configuri un bacino d'utenza per utilizzare la configurazione di Amazon SES per gestire il recapito e-mail, Amazon Cognito crea il ruolo collegato al servizio per tuo conto.

Prima che Amazon Cognito possa creare questo ruolo, le autorizzazioni IAM utilizzate per configurare il bacino d'utenza devono includere l'operazione iam:CreateServiceLinkedRole. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni in IAM, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente di IAM.

Modifica di un ruolo collegato ai servizi per Amazon Cognito

Non puoi modificare i ruoli AmazonCognitoIdp o AmazonCognitoIdpEmailService quelli collegati al servizio in. AWS Identity and Access Management Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon Cognito

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. Se elimini il ruolo, mantieni solo le entità che Amazon Cognito monitora o mantiene attivamente. Prima di poter eliminare i ruoli AmazonCognitoIdp o AmazonCognitoIdpEmailService quelli collegati al servizio, è necessario eseguire una delle seguenti operazioni per ogni pool di utenti che utilizza il ruolo:

  • Eliminare il bacino d'utenza.

  • Aggiornare le impostazioni e-mail nel bacino d'utenza in modo da utilizzare la funzionalità e-mail predefinita. L'impostazione di default non utilizza il ruolo collegato al servizio.

Ricordati di eseguire l'azione in ognuno di essi Regione AWS con un pool di utenti che utilizza il ruolo.

Nota

Se il servizio Amazon Cognito utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non riesca. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Come eliminare un bacino d'utenza Amazon Cognito

  1. Accedi AWS Management Console e apri la console Amazon Cognito all'indirizzo. https://console.aws.amazon.com/cognito

  2. Scegli Manage User Pools (Gestisci pool di utenti).

  3. Nella pagina Your User Pools (I tuoi pool di utenti), scegli il bacino d'utenza da eliminare.

  4. Scegli Delete pool (Elimina pool).

  5. Nella finestra Delete user pool (Elimina pool di utenti), digita delete e seleziona Elimina pool.

Per aggiornare un bacino d'utenza di Amazon Cognito in modo che utilizzi la funzionalità e-mail di default

  1. Accedi AWS Management Console e apri la console Amazon Cognito all'indirizzo. https://console.aws.amazon.com/cognito

  2. Scegli Manage User Pools (Gestisci pool di utenti).

  3. Nella pagina Your User Pools (I tuoi pool di utenti), scegli il bacino d'utenza da aggiornare.

  4. Nel menu di navigazione a sinistra, seleziona Message customizations (Personalizzazioni di messaggio).

  5. Alla voce Do you want to send emails through your Amazon SES Configuration? (Inviare e-mail tramite la configurazione Amazon SES?), seleziona No - Use Cognito (Default) (No, utilizza Cognito (di default)).

  6. Una volta completata la configurazione delle opzioni dell'account e-mail, seleziona Save changes (Salva modifiche).

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Usa la console IAM AWS CLI, o l' AWS API per eliminare ruoli AmazonCognitoIdp o collegati ai AmazonCognitoIdpEmailService servizi. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi di Amazon Cognito

Amazon Cognito supporta ruoli collegati al servizio Regioni AWS ovunque il servizio sia disponibile. Per ulteriori informazioni, consulta Regioni AWS ed endpoint.