Acciones, recursos y claves de condición para los grupos de usuarios de Amazon Cognito - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para los grupos de usuarios de Amazon Cognito

Grupos de usuarios de Amazon Cognito (prefijo de servicio: cognito-idp) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por los grupos de usuarios de Amazon Cognito

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddCustomAttributes Concede permiso para agregar atributos de usuario al esquema del grupo de usuarios Escritura

userpool*

AdminAddUserToGroup Concede permiso para agregar cualquier usuario a cualquier grupo Escritura

userpool*

AdminConfirmSignUp Concede permiso para confirmar el registro de cualquier usuario sin un código de confirmación Escritura

userpool*

AdminCreateUser Concede permiso para crear nuevos usuarios y enviar mensajes de bienvenida por correo electrónico o SMS Escritura

userpool*

AdminDeleteUser Concede permiso para eliminar cualquier usuario Escritura

userpool*

AdminDeleteUserAttributes Concede permiso para eliminar atributos de cualquier usuario Escritura

userpool*

AdminDisableProviderForUser Concede permiso para desvincular cualquier grupo de usuarios del grupo de usuarios de un proveedor de identidades (IdP) externo Escritura

userpool*

AdminDisableUser Concede permiso para desactivar cualquier usuario Escritura

userpool*

AdminEnableUser Concede permiso para activar cualquier usuario Escritura

userpool*

AdminForgetDevice Concede permiso para anular el registro de los dispositivos de cualquier usuario Escritura

userpool*

AdminGetDevice Concede permiso para obtener información sobre los dispositivos de cualquier usuario Lectura

userpool*

AdminGetUser Concede permiso para buscar cualquier usuario por nombre de usuario Lectura

userpool*

AdminInitiateAuth Concede permiso para autenticar cualquier usuario Escritura

userpool*

AdminLinkProviderForUser Concede permiso para vincular cualquier grupo de usuarios con un usuario de un IdP externo Escritura

userpool*

AdminListDevices Concede permiso para enumerar dispositivos recordados por cualquier usuario List

userpool*

AdminListGroupsForUser Concede permiso para enumerar los grupos a los que pertenece cualquier usuario List

userpool*

AdminListUserAuthEvents Concede permiso para enumerar eventos de inicio de sesión para cualquier usuario Lectura

userpool*

AdminRemoveUserFromGroup Concede permiso para eliminar un usuario de cualquier grupo Escritura

userpool*

AdminResetUserPassword Concede permiso para restablecer la contraseña de cualquier usuario Escritura

userpool*

AdminRespondToAuthChallenge Concede permiso para responder a un desafío de autenticación durante la autenticación de cualquier usuario Escritura

userpool*

AdminSetUserMFAPreference Concede permiso para establecer el método de MFA preferido de cualquier usuario Escritura

userpool*

AdminSetUserPassword Concede permiso para establecer la contraseña de cualquier usuario Escritura

userpool*

AdminSetUserSettings Concede permiso para establecer la configuración de usuario para cualquier usuario Escritura

userpool*

AdminUpdateAuthEventFeedback Concede permiso para actualizar los comentarios de seguridad avanzados para cualquier evento de autenticación de usuario Escritura

userpool*

AdminUpdateDeviceStatus Concede permiso para actualizar el estado de cualquier dispositivo recordado por cualquier usuario Escritura

userpool*

AdminUpdateUserAttributes Concede permiso para actualizar los atributos estándar o personalizados de cualquier usuario Escritura

userpool*

AdminUserGlobalSignOut Concede permiso para cerrar la sesión de cualquier usuario en todas las sesiones Escritura

userpool*

AssociateSoftwareToken Devuelve un código único de clave secreta compartida generado para la cuenta del usuario Escritura
AssociateWebACL [solo permiso] Concede permiso para asociar el grupo de usuarios con una ACL web de AWS WAF Escritura

userpool*

webacl*

ChangePassword Cambia la contraseña de un usuario especificado en un grupo de usuarios Escritura
ConfirmDevice Confirma el seguimiento del dispositivo. Esta llamada a la API es la llamada que comienza el seguimiento de dispositivos Escritura
ConfirmForgotPassword Permite a un usuario ingresar un código de confirmación para restablecer una contraseña olvidada Escritura
ConfirmSignUp Confirma el registro de un usuario y gestiona el alias existente de un usuario anterior Escritura
CreateGroup Concede permiso para crear nuevos grupos de usuarios Escritura

userpool*

CreateIdentityProvider Concede permiso para agregar proveedores de identidad a grupos de usuarios Escritura

userpool*

CreateResourceServer Concede permiso para crear y configurar ámbitos para los servidores de recursos de OAuth 2.0 Escritura

userpool*

CreateUserImportJob Concede permiso para crear trabajos de importación CSV de usuario Escritura

userpool*

CreateUserPool Concede permiso para crear y establecer políticas de contraseñas para grupos de usuarios Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

CreateUserPoolClient Concede permiso para crear clientes de aplicaciones para grupos de usuarios Escritura

userpool*

CreateUserPoolDomain Concede permiso para agregar dominios de grupos de usuarios Escritura

userpool*

DeleteGroup Concede permiso para eliminar cualquier grupo de usuarios vacío Escritura

userpool*

DeleteIdentityProvider Concede permiso para eliminar cualquier proveedor de identidades de grupos de usuarios Escritura

userpool*

DeleteResourceServer Concede permiso para eliminar cualquier servidor de recursos de OAuth 2.0 de grupos de usuarios Escritura

userpool*

DeleteUser Permite a un usuario eliminarse a sí mismo Escritura
DeleteUserAttributes Elimina los atributos de un usuario Escritura
DeleteUserPool Concede permiso para eliminar grupos de usuario Escritura

userpool*

DeleteUserPoolClient Concede permiso para eliminar cualquier cliente de aplicación de grupos de usuarios Escritura

userpool*

DeleteUserPoolDomain Concede permiso para eliminar cualquier dominio de grupos de usuarios Escritura

userpool*

DescribeIdentityProvider Concede permiso para describir cualquier proveedor de identidades de grupos de usuarios Lectura

userpool*

DescribeResourceServer Concede permiso para describir cualquier servidor de recursos de OAuth 2.0 Lectura

userpool*

DescribeRiskConfiguration Concede permiso para describir la configuración de riesgos de los grupos de usuarios y los clientes de aplicaciones Lectura

userpool*

DescribeUserImportJob Concede permiso para describir cualquier trabajo de importación de usuarios Lectura

userpool*

DescribeUserPool Concede permiso para describir grupos de usuarios Lectura

userpool*

DescribeUserPoolClient Concede permiso para describir cualquier cliente de aplicación de grupos de usuarios Lectura

userpool*

DescribeUserPoolDomain Concede permiso para describir cualquier dominio de grupos de usuarios Lectura
DisassociateWebACL [solo permiso] Concede permiso para desasociar el grupo de usuarios de una ACL web de AWS WAF Escritura

userpool*

ForgetDevice Olvida el dispositivo especificado Escritura
ForgotPassword Llamar a esta API hace que se envíe un mensaje al usuario final con un código de confirmación que es necesario para cambiar la contraseña del usuario Escritura
GetCSVHeader Concede permiso para generar encabezados para un archivo .csv de importación de usuarios Lectura

userpool*

GetDevice Obtiene el dispositivo Lectura
GetGroup Concede permiso para describir un grupo de usuarios Lectura

userpool*

GetIdentityProviderByIdentifier Concede permiso para correlacionar un identificador de IdP de grupo de usuarios con el nombre del IdP Lectura

userpool*

GetSigningCertificate Concede permiso para buscar certificados de firma para grupos de usuarios Lectura

userpool*

GetUICustomization Concede permiso para obtener información de personalización de la IU para la IU alojada de cualquier cliente Lectura

userpool*

GetUser Obtiene los atributos de usuario y los metadatos de un usuario Lectura
GetUserAttributeVerificationCode Obtiene el código de verificación del atributo de usuario para el nombre de atributo especificado Lectura
GetUserPoolMfaConfig Concede permiso para buscar la configuración MFA de grupos de usuarios Lectura

userpool*

GetWebACLForResource [solo permiso] Concede permiso para obtener la ACL web de AWS WAF asociada a un grupo de usuarios de Amazon Cognito Lectura

userpool*

GlobalSignOut Cierra la sesión de los usuarios de todos los dispositivos Escritura
InitiateAuth Comienza el flujo de autenticación Escritura
ListDevices Muestra los dispositivos List
ListGroups Concede permiso para enumerar todos los grupos en grupos de usuarios List

userpool*

ListIdentityProviders Concede permiso para enumerar todos los proveedores de identidad en grupos de usuarios List

userpool*

ListResourceServers Concede permiso para enumerar todos los servidores de recursos en grupos de usuarios List

userpool*

ListResourcesForWebACL [solo permiso] Concede permiso para enumerar los grupos de usuarios asociados a una ACL web de AWS WAF List

webacl*

ListTagsForResource Concede permiso para enumerar las etiquetas asignadas a un grupo de usuarios de Amazon Cognito List

userpool

ListUserImportJobs Concede permiso para enumerar todos los trabajos de importación de usuarios List

userpool*

ListUserPoolClients Concede permiso para enumerar todos los clientes de aplicaciones en grupos de usuarios List

userpool*

ListUserPools Concede permiso para enumerar todos los grupos de usuarios List
ListUsers Concede permiso para enumerar todos los usuarios de grupos de usuarios List

userpool*

ListUsersInGroup Concede permiso para enumerar a los usuarios de cualquier grupo List

userpool*

ResendConfirmationCode Reenvía la confirmación (del registro) a un usuario específico del grupo de usuarios Escritura
RespondToAuthChallenge Responde al reto de autenticación Escritura
RevokeToken Invalida todos los tokens de acceso generados por el token de actualización especificado Escritura
SetRiskConfiguration Concede permiso para establecer la configuración de riesgos para grupos de usuarios y clientes de aplicaciones Escritura

userpool*

SetUICustomization Concede permiso para personalizar la IU alojada para cualquier cliente de aplicación Escritura

userpool*

SetUserMFAPreference Establece la preferencia de MFA para el usuario del grupo de usuarios. Escritura
SetUserPoolMfaConfig Concede permiso para actualizar la configuración MFA de un grupo de usuarios Escritura

userpool*

SetUserSettings Establece la configuración del usuario como autenticación multifactor (MFA) Escritura
SignUp Registra al usuario en el grupo de usuarios especificado y crea un nombre de usuario, contraseña y atributos de usuario Escritura
StartUserImportJob Concede permiso para iniciar cualquier trabajo de importación de un usuario Escritura

userpool*

StopUserImportJob Concede permiso para detener cualquier trabajo de importación de un usuario Escritura

userpool*

TagResource Concede permiso para etiquetar un grupo de usuarios Etiquetado

userpool

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permiso para eliminar la etiqueta de un grupo de usuarios Etiquetado

userpool

aws:TagKeys

UpdateAuthEventFeedback Actualiza los comentarios para el evento de autenticación de usuario. Escritura

userpool*

UpdateDeviceStatus Actualiza el estado del dispositivo Escritura
UpdateGroup Concede permiso para actualizar la configuración de cualquier grupo Escritura

userpool*

UpdateIdentityProvider Concede permiso para actualizar la configuración de cualquier IdP de grupo de usuarios Escritura

userpool*

UpdateResourceServer Concede permiso para actualizar la configuración de cualquier servidor de recursos OAuth 2.0 Escritura

userpool*

UpdateUserAttributes Permite a un usuario actualizar un atributo específico (uno cada vez) Escritura
UpdateUserPool Concede permiso para actualizar la configuración de grupos de usuarios Escritura

userpool*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateUserPoolClient Concede permiso para actualizar cualquier cliente de grupos de usuarios Escritura

userpool*

UpdateUserPoolDomain Concede permiso para reemplazar el certificado por cualquier dominio personalizado Escritura

userpool*

VerifySoftwareToken Registra el código TOTP ingresado del usuario y marca el estado MFA del token de software del usuario como verificado si es correcto Escritura
VerifyUserAttribute Verifica un atributo de usuario mediante un código de verificación de un solo uso Escritura

Tipos de recurso definidos por los grupos de usuarios de Amazon Cognito

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
userpool arn:${Partition}:cognito-idp:${Region}:${Account}:userpool/${UserPoolId}

aws:ResourceTag/${TagKey}

webacl arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/webacl/${Name}/${Id}

Claves de condición de los grupos de usuarios de Amazon Cognito

Amazon Cognito User Pools define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso por una clave que está presente en la solicitud. ArrayOfString