AWS Amazon Cognito の マネージドポリシー - Amazon Cognito
ポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Cognito の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「 ユーザーガイド」のAWS 「 管理ポリシー」を参照してください。 IAM

AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS マネージドポリシーのアクセス許可は変更できません。サービスでは、新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数の サービスにまたがるジョブ関数のマネージドポリシー AWS をサポートしています。例えば、 ReadOnlyAccess AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ関数ポリシーのリストと説明については、「 ユーザーガイド」のAWS 「ジョブ関数のマネージドポリシー」を参照してください。 IAM

AWS Amazon Cognito へのアクセスを許可する マネージドIAMポリシー

  • AmazonCognitoPowerUser – ID プールとユーザープールのあらゆる側面へのアクセスと管理のための許可。このポリシーのアクセス許可を表示するには、「」を参照してくださいAmazonCognitoPowerUser

  • AmazonCognitoReadOnly - ID プールとユーザープールへの読み取り専用アクセスのための許可。このポリシーのアクセス許可を表示するには、「」を参照してくださいAmazonCognitoReadOnly

  • AmazonCognitoDeveloperAuthenticatedIdentities – 認証システムが Amazon Cognito と統合するのための許可。このポリシーのアクセス許可を表示するには、「」を参照してくださいAmazonCognitoDeveloperAuthenticatedIdentities

これらのポリシーは Amazon Cognito チームによって維持されるため、新しい APIsが追加されても、ユーザーは引き続き同じレベルのアクセス権限を持ちます。

注記

新しいアイデンティティプールを作成すると、認証済みユーザーアクセスとゲストユーザーアクセス用の新しいロールを自動的に作成できます。新しいIAMロールで ID プールを作成する管理者には、ロールを作成するIAMアクセス許可も必要です。

認証されていないゲストアクセスを持つアイデンティティプールは、認証されていないユーザーにセッションポリシーとして追加の AWS 管理ポリシーを適用します。この AWS 管理ポリシーには、管理目的での使用はありません。代わりに、アイデンティティプールの拡張認証フローでゲストユーザーに適用できるアクセス許可の範囲が制限されます。詳細については、「IAM ロール」を参照してください。

AWS Amazon Cognito がゲストユーザーに付与する マネージドIAMポリシー

  • AmazonCognitoUnAuthedIdentitiesSessionPolicy - インラインセッションポリシーと組み合わせて、 IAM は管理者が ID プールゲストユーザーに付与できるアクセス許可を制限します。Amazon Cognito は、このポリシーをゲストセッションに自動的に適用します。詳細については、「ゲストの AWS マネージドセッションポリシー」を参照してください。

AWS マネージドポリシーへの Amazon Cognito 更新

このサービスがこれらの変更の追跡を開始してからの Amazon Cognito の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、Amazon Cognito ドキュメント履歴ページのRSSフィードにサブスクライブします。

変更 説明 日付
AmazonCognitoUnAuthedIdentitiesSessionPolicy– 変更 Amazon Cognito は、ID プール内の認証されていない (ゲスト) ユーザーに対して Amazon Location Service の使用を許可する新しいアクションを追加しました。 2024 年 8 月 9 日
AmazonCognitoUnAuthedIdentitiesSessionPolicy– 新しいポリシー ID プール内のゲストユーザーの特権スコープダウンのための AWS マネージドポリシーを追加しました。 2023 年 7 月 14 日
AmazonCognitoPowerUser および AmazonCognitoReadOnly– 変更 パワーユーザーが Amazon Cognito ユーザープールACLsへの AWS WAF ウェブの関連付けを表示および管理できるようにする新しいアクセス許可を追加しました。

読み取り専用ユーザーが Amazon Cognito ユーザープールACLsへの AWS WAF ウェブの関連付けを表示できるようにする新しいアクセス許可を追加しました。

 2022 年 7 月 19 日
AmazonCognitoPowerUser– 変更 Amazon Cognito による Amazon Simple Email Service PutIdentityPolicy および ListConfigurationSets のオペレーションの呼び出しを可能にする新しい許可が追加されました。

この変更により、Amazon Cognito ユーザープールは Amazon SES 送信承認ポリシーを更新し、ユーザープールで E メール送信を設定するときに Amazon SES 設定セットを適用できます。

 2021 年 11 月 17 日
AmazonCognitoPowerUser– 変更

Amazon Cognito による Amazon Simple Notification Service の GetSMSSandboxAccountStatus オペレーションの呼び出しを可能にする新しい許可が追加されました。

この変更により、Amazon Cognito ユーザープールは、ユーザープールを通じてすべてのエンドユーザーにメッセージを送信するために、Amazon Simple Notification Service のサンドボックスから乗り換える必要があるかどうかを判断できるようになります。

 2021 年 6 月 1 日

Amazon Cognito が変更の追跡を開始

Amazon Cognito は、 AWS マネージドポリシーの変更の追跡を開始しました。

 2021 年 3 月 1 日