Claves de condición, recursos y acciones de los grupos de usuarios de Amazon Cognito - AWS Identity and Access Management

Claves de condición, recursos y acciones de los grupos de usuarios de Amazon Cognito

Grupos de usuarios de Amazon Cognito (prefijo de servicio: cognito-idp) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por los grupos de usuarios de Amazon Cognito

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddCustomAttributes Añade atributos de usuario adicionales al esquema del grupo de usuarios. Escritura

userpool*

AdminAddUserToGroup Añade el usuario especificado al grupo especificado. Escritura

userpool*

AdminConfirmSignUp Confirma un registro de usuario como administrador sin usar un código de confirmación. Funciona con cualquier usuario. Escritura

userpool*

AdminCreateUser Crea un usuario nuevo en el grupo de usuarios especificado y envía un mensaje de bienvenida por correo electrónico o teléfono (SMS). Escritura

userpool*

AdminDeleteUser Elimina a un usuario como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminDeleteUserAttributes Elimina los atributos de usuario en un grupo de usuarios como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminDisableProviderForUser Deshabilita el inicio de sesión del usuario con el proveedor de identidades externo especificado (SAML o social). Escritura

userpool*

AdminDisableUser Deshabilita al usuario especificado como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminEnableUser Habilita al usuario especificado como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminForgetDevice Olvida el dispositivo, como administrador. Escritura

userpool*

AdminGetDevice Obtiene el dispositivo, como administrador. Lectura

userpool*

AdminGetUser Obtiene el usuario especificado por nombre de usuario en un grupo de usuarios como administrador. Funciona con cualquier usuario. Lectura

userpool*

AdminInitiateAuth Autentica un usuario en un grupo de usuarios como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminLinkProviderForUser Vincula una cuenta de usuario existente en un grupo de usuarios (DestinationUser) con una identidad de un proveedor de identidades externo (SourceUser) en función del valor y el nombre de atributo especificado del proveedor de identidades externo. Escritura

userpool*

AdminListDevices Enumera los dispositivos, como administrador. List

userpool*

AdminListGroupsForUser Muestra los grupos a los que pertenece el usuario. List

userpool*

AdminListUserAuthEvents Enumera los eventos de autenticación del usuario. Lectura

userpool*

AdminRemoveUserFromGroup Quita el usuario especificado del grupo especificado. Escritura

userpool*

AdminResetUserPassword Establece la contraseña del usuario especificado en un grupo de usuarios como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminRespondToAuthChallenge Responde a un reto de autenticación, como administrador. Escritura

userpool*

AdminSetUserMFAPreference Establece la preferencia de MFA para el usuario del grupo de usuarios. Escritura

userpool*

AdminSetUserPassword Establece la contraseña del usuario especificado en un grupo de usuarios como administrador. Funciona con cualquier usuario. Escritura

userpool*

AdminSetUserSettings Establece toda la configuración de usuario para un nombre de usuario especificado. Funciona con cualquier usuario. Escritura

userpool*

AdminUpdateAuthEventFeedback Actualiza los comentarios para el evento de autenticación de usuario. Escritura

userpool*

AdminUpdateDeviceStatus Actualiza el estado del dispositivo, como administrador. Escritura

userpool*

AdminUpdateUserAttributes Actualiza los atributos del usuario especificado, incluidos los atributos de desarrollador, como administrador. Escritura

userpool*

AdminUserGlobalSignOut Cierra la sesión de los usuarios de todos los dispositivos, como administrador. Escritura

userpool*

AssociateSoftwareToken Devuelve un código único de clave secreta compartida generado para la cuenta del usuario. Escritura
ChangePassword Cambia la contraseña de un usuario especificado en un grupo de usuarios. Escritura
ConfirmDevice Confirma el seguimiento del dispositivo. Esta llamada a la API es la llamada que comienza el seguimiento de dispositivos. Escritura
ConfirmForgotPassword Permite a un usuario escribir un código de confirmación para restablecer una contraseña olvidada. Escritura
ConfirmSignUp Confirma el registro de un usuario y gestiona el alias existente de un usuario anterior. Escritura
CreateGroup Crea un grupo nuevo en el grupo de usuarios especificado. Escritura

userpool*

CreateIdentityProvider Crea un proveedor de identidades para un grupo de usuarios. Escritura

userpool*

CreateResourceServer Crea un nuevo servidor de recursos OAuth2.0 y define ámbitos personalizados en él. Escritura

userpool*

CreateUserImportJob Crea una tarea de importación de usuarios. Escritura

userpool*

CreateUserPool Crea un nuevo grupo de usuarios de Amazon Cognito y establece la política de contraseñas del grupo. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

CreateUserPoolClient Crea el cliente de grupo de usuarios. Escritura

userpool*

CreateUserPoolDomain Crea un nuevo dominio para un grupo de usuarios. Escritura

userpool*

DeleteGroup Elimina un grupo. Actualmente solo se pueden eliminar los grupos que no tienen miembros. Escritura

userpool*

DeleteIdentityProvider Elimina un proveedor de identidades para un grupo de usuarios. Escritura

userpool*

DeleteResourceServer Elimina un servidor de recursos. Escritura

userpool*

DeleteUser Permite a un usuario eliminarse a sí mismo. Escritura
DeleteUserAttributes Elimina los atributos de un usuario. Escritura
DeleteUserPool Elimina el grupo de usuarios de Amazon Cognito especificado. Escritura

userpool*

DeleteUserPoolClient Permite al desarrollador eliminar el cliente del grupo de usuarios. Escritura

userpool*

DeleteUserPoolDomain Elimina un dominio de un grupo de usuarios. Escritura

userpool*

DescribeIdentityProvider Obtiene información acerca de un proveedor de identidades específico. Lectura

userpool*

DescribeResourceServer Describe un servidor de recursos. Lectura

userpool*

DescribeRiskConfiguration Describe el ajuste de configuración del riesgo para el grupo de usuarios o el cliente de este. Lectura

userpool*

DescribeUserImportJob Describe una tarea de importación de usuarios. Lectura

userpool*

DescribeUserPool Devuelve la información de configuración y los metadatos del grupo de usuarios especificado. Lectura

userpool*

DescribeUserPoolClient Método del cliente para devolver la información de configuración y los metadatos del cliente del grupo de usuarios especificado. Lectura

userpool*

DescribeUserPoolDomain Obtiene información acerca de un dominio. Lectura
ForgetDevice Olvida el dispositivo especificado. Escritura
ForgotPassword Llamar a esta API hace que se envíe un mensaje al usuario final con un código de confirmación que es necesario para cambiar la contraseña del usuario. Escritura
GetCSVHeader Obtiene la información del encabezado para el archivo .csv que se va a utilizar como entrada para el trabajo de importación de usuarios. Lectura

userpool*

GetDevice Obtiene el dispositivo. Lectura
GetGroup Obtiene un grupo. Lectura

userpool*

GetIdentityProviderByIdentifier Obtiene el proveedor de identidades especificado. Lectura

userpool*

GetSigningCertificate Devuelve el certificado de firma. Lectura

userpool*

GetUICustomization Obtiene información de personalización de la IU para una determinada IU de la aplicación del cliente, de estar configurada. Lectura

userpool*

GetUser Obtiene los atributos de usuario y los metadatos de un usuario. Lectura
GetUserAttributeVerificationCode Obtiene el código de verificación del atributo de usuario para el nombre de atributo especificado. Lectura
GetUserPoolMfaConfig Obtiene la configuración de MFA para el grupo de usuarios. Lectura

userpool*

GlobalSignOut Cierra la sesión de los usuarios de todos los dispositivos. Escritura
InitiateAuth Comienza el flujo de autenticación. Escritura
ListDevices Muestra los dispositivos. List
ListGroups Enumera los grupos asociados a un grupo de usuarios. List

userpool*

ListIdentityProviders Muestra información de todos los proveedores de identidades para un grupo de usuarios. List

userpool*

ListResourceServers Enumera los servidores de recursos para un grupo de usuarios. List

userpool*

ListTagsForResource Enumera las etiquetas que se asignan a un grupo de usuarios de Amazon Cognito. List

userpool

ListUserImportJobs Enumera los trabajos de importación de usuarios. List

userpool*

ListUserPoolClients Muestra los clientes que se han creado para el grupo de usuarios especificado. List

userpool*

ListUserPools Enumera los grupos de usuarios asociados a una cuenta de AWS. List
ListUsers Muestra los usuarios del grupo de usuarios de Amazon Cognito. List

userpool*

ListUsersInGroup Muestra los usuarios del grupo especificado. List

userpool*

ResendConfirmationCode Reenvía la confirmation (para confirmar el registro) a un usuario específico del grupo de usuarios. Escritura
RespondToAuthChallenge Responde al reto de autenticación. Escritura
SetRiskConfiguration establece el ajuste de configuración del riesgo para el grupo de usuarios o el cliente de este. Escritura

userpool*

SetUICustomization Establece información de personalización de la IU para la IU de la aplicación integrada de un grupo de usuarios. Escritura

userpool*

SetUserMFAPreference Establece la preferencia de MFA para el usuario del grupo de usuarios. Escritura
SetUserPoolMfaConfig Establece la configuración de MFA para el grupo de usuarios. Escritura

userpool*

SetUserSettings Establece la configuración del usuario como Multi-Factor Authentication (MFA). Escritura
SignUp Registra al usuario en el grupo de usuarios especificado y crea un nombre de usuario, contraseña y atributos de usuario. Escritura
StartUserImportJob Comienza la importación de usuario. Escritura

userpool*

StopUserImportJob Detiene una tarea de importación de usuarios. Escritura

userpool*

TagResource Asigna un conjunto de etiquetas a un grupo de usuarios de Amazon Cognito. Etiquetado

userpool

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Elimina las etiquetas especificadas de un grupo de usuarios de Amazon Cognito. Etiquetado

userpool

aws:TagKeys

UpdateAuthEventFeedback Actualiza los comentarios para el evento de autenticación de usuario. Escritura

userpool*

UpdateDeviceStatus Actualiza el estado del dispositivo. Escritura
UpdateGroup Actualiza el grupo especificado con los atributos especificados. Escritura

userpool*

UpdateIdentityProvider Actualiza la información del proveedor de identidades para un grupo de usuarios. Escritura

userpool*

UpdateResourceServer Actualiza el nombre y ámbito del servidor de recursos. Escritura

userpool*

UpdateUserAttributes Permite a un usuario actualizar un atributo específico (uno cada vez). Escritura
UpdateUserPool Actualiza el grupo de usuarios especificado con los atributos especificados. Escritura

userpool*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateUserPoolClient Permite al desarrollador actualizar el cliente de grupo de usuarios especificado y la política de contraseñas. Escritura

userpool*

UpdateUserPoolDomain Actualiza el certificado de capa de conexión segura (SSL) del dominio personalizado de su grupo de usuarios. Escritura

userpool*

VerifySoftwareToken Registra el código TOTP ingresado del usuario y marca el estado MFA del token de software del usuario como verificado si es correcto. Escritura
VerifyUserAttribute Verifica un atributo de usuario mediante un código de verificación de un solo uso. Escritura

Tipos de recurso definidos por los grupos de usuarios de Amazon Cognito

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
userpool arn:${Partition}:cognito-idp:${Region}:${Account}:userpool/${UserPoolId}

aws:ResourceTag/${TagKey}

Claves de condición de los grupos de usuarios de Amazon Cognito

Amazon Cognito User Pools define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares de clave-valor de etiqueta asociados al recurso. Cadena
aws:TagKeys Filtra el acceso por una clave que está presente en la solicitud. Cadena