Uso de roles vinculados a servicios para Amazon Cognito - Amazon Cognito
Permisos de roles vinculados a servicios para Amazon CognitoCreación de un rol vinculado a un servicio para Amazon CognitoEdición de un rol vinculado a un servicio para Amazon CognitoEliminación de un rol vinculado a un servicio para Amazon CognitoRegiones compatibles con los roles vinculados a servicios de Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Amazon Cognito

Amazon Cognito utiliza funciones vinculadas a AWS Identity and Access Management servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM con una política de confianza que permite a un usuario asumir el rol. Servicio de AWS Amazon Cognito predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a AWS otros servicios en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Amazon Cognito porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon Cognito define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon Cognito puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon Cognito, ya que se evita que se puedan eliminar por accidente los permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Amazon Cognito

Amazon Cognito utiliza los siguientes roles vinculados a servicios:

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Permite que el servicio de grupos de usuarios de Amazon Cognito utilice sus identidades de Amazon SES para enviar correos electrónicos.

  • AWSServiceRoleForAmazonCognitoIdp— Permite a los grupos de usuarios de Amazon Cognito publicar eventos y configurar puntos de enlace para sus proyectos de Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

El rol vinculado al servicio AWSServiceRoleForAmazonCognitoIdpEmailService depende de los siguientes servicios para asumir el rol:

  • email.cognito-idp.amazonaws.com

La política de permisos del rol permite que Amazon Cognito realice las siguientes acciones en los recursos especificados:

Acciones permitidas para: AWSServiceRoleForAmazonCognitoIdpEmailService

  • Acción:ses:SendEmail y ses:SendRawEmail

  • Recurso: *

La política deniega a Amazon Cognito la capacidad para realizar las siguientes acciones en los recursos especificados:

Acciones denegadas

  • Acción: ses:List*

  • Recurso: *

Con estos permisos, Amazon Cognito puede utilizar las direcciones de correo electrónico verificadas en Amazon SES solo para enviar correos electrónicos a los usuarios. Amazon Cognito envía un correo electrónico a los usuarios cuando ejecutan ciertas acciones en la aplicación del cliente para un grupo de usuarios, como registrarse o restablecer una contraseña.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

AWSServiceRoleForAmazonCognitoIdp

El rol AWSServiceRoleForAmazonCognitoIdp vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • email.cognito-idp.amazonaws.com

La política de permisos del rol permite que Amazon Cognito realice las siguientes acciones en los recursos especificados:

Acciones permitidas para AWSServiceRoleForAmazonCognitoIdp

  • Acción: cognito-idp:Describe

  • Recurso: *

Con este permiso, Amazon Cognito puede llamar a las operaciones de la API de Amazon Cognito Describe por usted.

nota

Cuando integre Amazon Cognito en Amazon Pinpoint mediante createUserPoolClient y updateUserPoolClient, los permisos de recursos se agregarán a la SLR como una política integrada. La política integrada proporcionará permisos mobiletargeting:UpdateEndpoint y mobiletargeting:PutEvents. Con estos permisos, Amazon Cognito puede publicar eventos y configurar puntos de conexión para los proyectos Pinpoint que integre con Cognito.

Creación de un rol vinculado a un servicio para Amazon Cognito

No necesita crear manualmente un rol vinculado a servicios. Cuando configura un grupo de usuarios para que utilice su configuración de Amazon SES para gestionar la entrega de correo electrónico en la AWS Management Console AWS CLI, la o la API de Amazon Cognito, Amazon Cognito crea el rol vinculado al servicio automáticamente.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al configurar un grupo de usuarios para utilizar la configuración de Amazon SES a fin de gestionar la entrega de correo electrónico, Amazon Cognito nuevamente crea el rol vinculado a servicios por usted.

Para que Amazon Cognito pueda crear este rol, los permisos de IAM que utilice para configurar su grupo de usuarios deben incluir la acción iam:CreateServiceLinkedRole. Para obtener más información acerca de la actualización de permisos en IAM, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio para Amazon Cognito

No puede editar las funciones ni las funciones vinculadas a un AmazonCognitoIdp servicio AmazonCognitoIdpEmailService . AWS Identity and Access Management Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon Cognito

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Si elimina el rol, solo conservará entidades que Amazon Cognito supervisa o mantiene activamente. Antes de poder eliminar los roles AmazonCognitoIdp o los AmazonCognitoIdpEmailService vinculados a un servicio, debe realizar una de las siguientes acciones para cada grupo de usuarios que utilice el rol:

  • Eliminar el grupo de usuarios.

  • Actualizar la configuración de correo electrónico en el grupo de usuarios para utilizar la funcionalidad de correo electrónico predeterminada. La configuración predeterminada no utiliza el rol vinculado al servicio.

Recuerde realizar la acción en cada uno de ellos Región de AWS con un grupo de usuarios que utilice el rol.

nota

Si el servicio Amazon Cognito utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar un grupo de usuarios de Amazon Cognito

  1. Inicie sesión en la consola de Amazon Cognito AWS Management Console y ábrala en. https://console.aws.amazon.com/cognito

  2. Elija Administrar grupos de usuarios.

  3. En la página Your User Pools (Sus grupos de usuarios), seleccione el grupo de usuarios que desee eliminar.

  4. Elija Delete pool (Eliminar grupo).

  5. En la ventana Delete user pool (Eliminar grupo de usuarios), escriba delete y elija Delete pool (Eliminar grupo).

Para actualizar un grupo de usuarios de Amazon Cognito para utilizar la funcionalidad de correo electrónico predeterminada

  1. Inicie sesión en la consola de Amazon Cognito AWS Management Console y ábrala en. https://console.aws.amazon.com/cognito

  2. Elija Administrar grupos de usuarios.

  3. En la página Your User Pools (Sus grupos de usuarios), seleccione el grupo de usuarios que desee actualizar.

  4. En el menú de navegación de la izquierda, elija Message customizations (Personalizaciones de mensajes).

  5. En Do you want to send emails through your Amazon SES Configuration? (¿Desea enviar correos electrónicos a través de su configuración de Amazon SES?), elija No - Use Cognito (Default) (No - Usar Cognito [Predeterminado]).

  6. Cuando termine de configurar las opciones de su cuenta de correo electrónico, seleccione Save changes (Guardar modificaciones).

Cómo eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar funciones AmazonCognitoIdp o vinculadas a AmazonCognitoIdpEmailService servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles con los roles vinculados a servicios de Amazon Cognito

Amazon Cognito admite funciones vinculadas a servicios en todos los lugares en los que el servicio Regiones de AWS esté disponible. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.