Hinzufügen von Gruppen zu einem Benutzerpool - Amazon Cognito
Zuweisen von IAM-Rollen zu GruppenZuweisen von Prioritätswerten zu GruppenVerwenden von Gruppen zur Steuerung von Berechtigungen mit Amazon API GatewayEinschränkungen für GruppenErstellen einer neuen Gruppe in der AWS Management Console

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen von Gruppen zu einem Benutzerpool

Durch Unterstützung für Gruppen in Amazon-Cognito-Benutzerpools können Sie Gruppen erstellen und verwalten, Benutzer zu Gruppen hinzufügen und aus ihnen entfernen. Verwenden Sie Gruppen, um Sammlungen von Benutzern zu erstellen und deren Berechtigungen zu verwalten oder verschiedene Arten von Benutzern darzustellen. Sie können einer Gruppe eine AWS Identity and Access Management (IAM)-Rolle zuweisen, um die Berechtigungen für Mitglieder einer Gruppe zu definieren.

Sie können Gruppen verwenden, um eine Auswahl von Benutzern in einem Benutzerpool zu erstellen, womit oft die Berechtigungen für diese Benutzer festgelegt werden. Beispielsweise können Sie separate Gruppen für Benutzer, die Leser, Mitwirkende und Redakteure Ihrer Website und Anwendung sind, erstellen. Über die IAM-Rolle, die einer Gruppe zugeordnet ist, können Sie auch verschiedene Berechtigungen für diese verschiedenen Gruppen festlegen, sodass nur Mitwirkende Inhalte in Amazon S3 stellen und nur Herausgeber Inhalte über eine API in Amazon API Gateway veröffentlichen können.

Sie können Gruppen in einem Benutzerpool über die AWS Management Console, die APIs und die CLI erstellen und verwalten. Als Entwickler (mit - AWS Anmeldeinformationen) können Sie die Gruppen für einen Benutzerpool erstellen, lesen, aktualisieren, löschen und auflisten. Sie können auch Benutzer zu Gruppen hinzufügen und aus ihnen entfernen.

Es fallen keine zusätzlichen Kosten für die Nutzung von Gruppen in einem Benutzerpool an. Weitere Informationen finden Sie unter Amazon Cognito – Preise.

Zuweisen von IAM-Rollen zu Gruppen

Sie können Gruppen verwenden, um Berechtigungen für Ihre Ressourcen mithilfe einer IAM-Rolle zu steuern. IAM-Rollen umfassen Vertrauensrichtlinien und Berechtigungsrichtlinien. Die Rollenvertrauensrichtlinie gibt an, wer die Rolle verwenden kann. Die Berechtigungsrichtlinien geben die Aktionen und Ressourcen an, auf die Ihre Gruppenmitglieder zugreifen können. Wenn Sie eine IAM-Rolle erstellen, richten Sie die Rollenvertrauensrichtlinie ein, damit die Gruppenbenutzer die Rolle übernehmen können. In Rollenberechtigungsrichtlinien geben Sie die Berechtigungen an, die Ihre Gruppe besitzen soll.

Wenn Sie eine Gruppe in Amazon Cognito erstellen, geben Sie eine IAM-Rolle an, indem Sie den ARN der Rolle angeben. Wenn sich Gruppenmitglieder mit Amazon Cognito anmelden, können sie temporäre Anmeldeinformationen aus den Identitätspools erhalten. Ihre Berechtigungen werden anhand der zugeordneten IAM-Rolle bestimmt.

Einzelne Benutzer können sich in mehreren Gruppen befinden. Als Entwickler haben Sie die folgenden Optionen zur automatischen Auswahl der IAM-Rolle, wenn sich ein Benutzer in mehreren Gruppen befindet:

  • Sie können für jede Gruppe Rangfolgenwerte zuweisen. Die Gruppe mit der besseren (niedrigeren) Priorität wird ausgewählt und ihre zugehörige IAM-Rolle wird angewendet.

  • Ihre App kann auch aus den verfügbaren Rollen wählen, wenn Anmeldeinformationen für einen Benutzer über einen Identitäten-Pool angefordert AWS werden, indem ein Rollen-ARN im -GetCredentialsForIdentityCustomRoleARNParameter angegeben wird. Die angegebene IAM-Rolle muss einer Rolle entsprechen, die für den Benutzer verfügbar ist.

Zuweisen von Prioritätswerten zu Gruppen

Ein Benutzer kann mehreren Gruppen angehören. In den Zugriffs- und ID-Tokens eines Benutzers enthält der cognito:groups-Anspruch die Liste aller Gruppen, denen ein Benutzer angehört. Der cognito:roles-Anspruch enthält die Liste der Rollen entsprechend den Gruppen.

Da ein Benutzer mehreren Gruppen angehören kann, kann jeder Gruppe eine Priorität zugewiesen werden. Hierbei handelt es sich um eine nicht-negative Zahl, die die Priorität dieser Gruppe im Vergleich zu anderen Gruppen angibt, denen ein Benutzer im Benutzerpool angehört. Null ist die höchste Priorität. Gruppen mit niedrigen Prioritätswerten haben Vorrang vor Gruppen mit höheren Prioritäts- oder NULL-Werten. Wenn ein Benutzer zwei oder mehr Gruppen angehört, ist es die Gruppe mit dem niedrigsten Prioritätswert, deren IAM-Rolle dem cognito:preferred_role-Anspruch im Benutzer-ID-Token zugewiesen wird.

Zwei Gruppen können dieselbe Priorität aufweisen. Wenn dies geschieht, hat keine Gruppe Vorrang vor der anderen. Wenn zwei Gruppen mit demselben Prioritätswert den gleichen Rollen-ARN haben, wird diese Rolle im cognito:preferred_role-Anspruch in ID-Token für Benutzer in jeder Gruppe verwendet. Wenn die zwei Gruppen unterschiedliche Rollen-ARNs haben, wird der cognito:preferred_role-Anspruch nicht in Benutzer-ID-Token festgelegt.

Verwenden von Gruppen zur Steuerung von Berechtigungen mit Amazon API Gateway

Sie können Gruppen in einem Benutzerpool verwenden, um die Berechtigung mit Amazon API Gateway zu steuern. Die Gruppen, bei denen ein Benutzer Mitglied ist, sind sowohl im ID-Token als auch im Zugriffstoken von einem Benutzerpool im cognito:groups-Anspruch enthalten. Sie können ID- oder Zugriffstoken mit Anfragen an Amazon API Gateway senden und einen Amazon-Cognito-Benutzerpool-Autorisierer für eine REST-API verwenden. Weitere Informationen finden Sie unter Control access to a REST API using Amazon cognito user pools as authorizer (Zugriff auf eine REST-API mit Amazon-Cognito-Benutzerpools als Autorisierer) im Entwicklerhandbuch von API Gateway.

Sie können den Zugriff auf eine Amazon-API-Gateway-HTTP-API auch mit einem benutzerdefinierten JWT-Autorisierer autorisieren. Weitere Informationen finden Sie unter Controlling access to HTTP APIs with JWT authorizers (Zugriffskontrolle auf HTTP-APIs mit JWT-Autorisierern) im Entwicklerhandbuch von API Gateway.

Einschränkungen für Gruppen

Benutzergruppen unterliegen den folgenden Einschränkungen:

  • Die Anzahl der Gruppen, die Sie erstellen können, ist durch die Amazon Cognito-Servicekontingente begrenzt.

  • Gruppen können nicht verschachtelt werden.

  • Sie können nicht nach Benutzern in einer Gruppe suchen.

  • Sie können nicht nach Namen nach Gruppen suchen, aber Sie können Gruppen auflisten.

Erstellen einer neuen Gruppe in der AWS Management Console

Gehen Sie wie folgt vor, um eine neue Gruppe zu erstellen.

Neue Gruppe erstellen

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre - AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

  4. Wählen Sie die Registerkarte Groups (Gruppen) und dann Create group (Gruppe erstellen) aus.

  5. Geben Sie auf der Seite Create a group (Ressourcengruppe erstellen) für Group name (Gruppenname) einen Namen für Ihre Gruppe ein.

  6. Sie können optional zusätzliche Informationen zu dieser Gruppe mithilfe eines der folgenden Felder angeben:

    • Description (Beschreibung) – Geben Sie Details darüber ein, wofür diese neue Gruppe verwendet wird.

    • Precedence (Priorität) – Amazon Cognito wertet alle Gruppenberechtigungen für einen bestimmten Benutzer aus und wendet sie an, basierend darauf, zu welchen Gruppen der Benutzer gehört und welche Gruppen den niedrigeren Prioritätswert haben. Die Gruppe mit der niedrigeren Priorität wird ausgewählt und ihre zugehörige IAM-Rolle wird angewendet. Weitere Informationen finden Sie unter Zuweisen von Prioritätswerten zu Gruppen.

    • IAM-Rolle – Sie können Ihrer Gruppe eine IAM-Rolle zuweisen, wenn Sie Berechtigungen für Ihre Ressourcen steuern müssen. Wenn Sie einen Benutzerpool in einen Identitäten-Pool integrieren, bestimmt die Einstellung IAM role (IAM-Rolle), welche Rolle im Benutzer-ID-Token zugewiesen wird, wenn der Identitäten-Pool zur Auswahl der Rolle über das Token konfiguriert ist. Weitere Informationen finden Sie unter Zuweisen von IAM-Rollen zu Gruppen.

    • Add users to this group (Dieser Gruppe Benutzer hinzufügen) – Fügen Sie vorhandene Benutzer als Mitglieder dieser Gruppe hinzu, nachdem sie erstellt wurde.

  7. Wählen Sie Create (Erstellen) aus, um dies zu bestätigen.