AWS politiques gérées pour Amazon Cognito

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le Guide de IAM l'utilisateur.

AWS IAMpolitiques gérées qui accordent l'accès à Amazon Cognito

AmazonCognitoPowerUser : autorisations d’accès et de gestion de tous les aspects des groupes d’identités et d’utilisateurs. Pour consulter les autorisations associées à cette politique, consultez AmazonCognitoPowerUser.
AmazonCognitoReadOnly : autorisations d’accès en lecture seule à vos groupes d’identités et à vos groupes d’utilisateurs. Pour consulter les autorisations associées à cette politique, consultez AmazonCognitoReadOnly.
AmazonCognitoDeveloperAuthenticatedIdentities : autorisations d’intégration de votre système d’authentification avec Amazon Cognito. Pour consulter les autorisations associées à cette politique, consultez AmazonCognitoDeveloperAuthenticatedIdentities.

Ces politiques sont mises à jour par l'équipe Amazon Cognito. Ainsi, même lorsque de nouvelles politiques APIs sont ajoutées, vos utilisateurs continuent de bénéficier du même niveau d'accès.

Note

Lorsque vous créez une nouvelle réserve d’identités, vous pouvez créer automatiquement de nouveaux rôles pour l’accès des utilisateurs authentifiés et invités. L'administrateur qui crée votre pool d'identités avec de nouveaux IAM rôles doit également être IAM autorisé à créer des rôles.

Les pools d'identités dotés d'un accès invité non authentifié appliquent une politique AWS gérée supplémentaire en tant que stratégie de session aux utilisateurs non authentifiés. Cette politique AWS gérée n'est pas destinée à un usage administratif. Elle limite plutôt la portée des autorisations que vous pouvez appliquer aux utilisateurs invités dans le flux d’authentification amélioré des réserves d’identités. Pour de plus amples informations, veuillez consulter IAMrôles.

AWS IAMpolitiques gérées qu'Amazon Cognito accorde aux utilisateurs invités

AmazonCognitoUnAuthedIdentitiesSessionPolicy- En combinaison avec une politique de session intégrée, limite les autorisations que les IAM administrateurs peuvent accorder aux utilisateurs invités du pool d'identités. Amazon Cognito applique automatiquement cette politique aux sessions réservées aux invités. Pour de plus amples informations, veuillez consulter La politique de session AWS gérée pour les invités.

Amazon Cognito met à jour les politiques gérées AWS

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Cognito depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des documents Amazon Cognito.

Modification	Description	Date
`AmazonCognitoUnAuthedIdentitiesSessionPolicy`—Changement	Amazon Cognito a ajouté de nouvelles actions pour permettre l'utilisation d'Amazon Location Service pour les utilisateurs non authentifiés (invités) dans les groupes d'identités.	9 août 2024
`AmazonCognitoUnAuthedIdentitiesSessionPolicy`—Nouvelle politique	Ajout d'une politique AWS gérée pour la limitation des privilèges des utilisateurs invités dans les pools d'identités.	14 juillet 2023
`AmazonCognitoPowerUser`et `AmazonCognitoReadOnly` —Change	Ajout de nouvelles autorisations pour permettre aux utilisateurs expérimentés de consulter et de gérer les associations entre le AWS WAF Web et les ACLs groupes d'utilisateurs d'Amazon Cognito. Ajout de nouvelles autorisations pour permettre aux utilisateurs en lecture seule de consulter les associations entre le AWS WAF Web ACLs et les groupes d'utilisateurs Amazon Cognito.	19 juillet 2022
`AmazonCognitoPowerUser`—Changement	Ajout d’une nouvelle autorisation permettant à Amazon Cognito d’appeler les opérations `PutIdentityPolicy` et `ListConfigurationSets` d’Amazon Simple Notification Service. Cette modification permet aux groupes d'utilisateurs Amazon Cognito de mettre à jour les politiques d'autorisation d'SESenvoi d'Amazon et d'appliquer les ensembles de SES configuration Amazon lorsque vous configurez l'envoi d'e-mails dans votre groupe d'utilisateurs.	17 novembre 2021
`AmazonCognitoPowerUser`—Changement	Ajout d’une nouvelle autorisation permettant à Amazon Cognito d’appeler l’opération `GetSMSSandboxAccountStatus` d’Amazon Simple Notification Service. Cette modification permet aux groupes d’utilisateurs Amazon Cognito de décider si vous devez quitter l’environnement de test (sandbox) Amazon Simple Notification Service pour envoyer des messages à tous les utilisateurs finaux via des groupes d’utilisateurs.	1er juin 2021
Amzon Cognito a commencé à suivre les modifications	Amazon Cognito a commencé à suivre les modifications apportées à ses politiques AWS gérées.	1er mars 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Analyse de la configuration et des vulnérabilités

Étiquetage des ressources