Identification des ressources Amazon Cognito - Amazon Cognito
Ressources prises en chargeRestrictions liées aux étiquettesGestion des identifications avec la consoleExemples AWS CLIActions d'API

Identification des ressources Amazon Cognito

Une identification est une étiquette de métadonnées que vous AWS attribuez à une ressource AWS. Chaque balise se compose d'une clé et d'une valeur. Pour les balises que vous affectez, vous définissez la clé et la valeur. Par exemple, vous pouvez définir la clé sur stage et la valeur pour une ressource sur test.

Les balises vous permettent d'effectuer les actions suivantes :

  • Identifier et organiser vos ressources AWS. De nombreux services AWS prennent en charge l'identification. Vous pouvez donc attribuer la même identification à des ressources de différents services. Cela vous aide à indiquer quelles ressources sont liées. Par exemple, vous pouvez affecter à un groupe d'utilisateurs Amazon Cognito la même étiquette que celle que vous affectez à une table Amazon DynamoDB.

  • Suivre vos coûts AWS. Vous pouvez activer ces identifications sur le tableau de bord AWS Billing and Cost Management. AWS utilise des identifications d’allocation des coûts pour catégoriser vos coûts et vous fournir un rapport mensuel d’allocation des coûts. Pour de plus amples informations, veuillez consulter Utilisation des identifications d’allocation des coûts dans le Guide de l'utilisateur AWS Billing.

  • Contrôler l'accès à vos ressources en fonction des balises qui leur sont affectées. Vous pouvez contrôler l'accès en spécifiant des clés et des valeurs d'identification dans les conditions d'une politique AWS Identity and Access Management (IAM). Par exemple, vous pouvez autoriser un utilisateur IAM à mettre à jour un groupe d'utilisateurs, mais uniquement si le groupe d'utilisateurs contient une étiquette owner dont la valeur est le nom de cet utilisateur. Pour de plus amples informations, veuillez consulter Contrôle de l'accès à l'aide d'identifications dans le Guide de l'utilisateur IAM.

Vous pouvez utiliser la AWS Command Line Interface ou l'API Amazon Cognito pour ajouter, modifier ou supprimer des identifications pour des groupes d'utilisateurs et des groupes d'identités. Vous pouvez également gérer les identifications pour les groupes d'utilisateurs en utilisant la console Amazon Cognito.

Pour accéder à des conseils sur l'utilisation des identifications, consultez l'article politiques d'identification AWS sur le blog AWS Answers.

Les sections suivantes fournissent des informations supplémentaires sur les étiquettes pour Amazon Cognito.

Ressources prises en charge dans Amazon Cognito

Les ressources suivantes dans Amazon Cognito prennent en charge l'étiquetage :

  • Groupes d'utilisateurs

  • Groupes d'identités

Restrictions liées aux étiquettes

Les restrictions de base suivantes s'appliquent aux identifications sur les ressources Amazon Cognito :

  • Nombre maximum d'étiquettes que vous pouvez attribuer à une ressource – 50

  • Longueur de clé maximale – 128 caractères Unicode

  • Longueur de valeur maximale – 256 caractères Unicode

  • Caractères valides pour les clés et valeurs : a-z, A-Z, 0-9, espace et les caractères suivants : _ . : / = + - @

  • Les clés et les valeurs sont sensibles à la casse.

  • N’utilisez pas aws: comme préfixe pour les clés ; seul AWS peut utiliser cette valeur.

Gestion des identifications à l'aide de la console Amazon Cognito

Vous pouvez utiliser la console Amazon Cognito pour gérer les étiquettes affectées à vos groupes d'utilisateurs.

Actuellement, la console ne contient pas de fonctions d'identification pour les groupes d'identités. Vous devez gérer les identifications de vos groupes d'identités par programmation, par exemple, en utilisant la AWS CLI.

Original console

Pour ajouter des balises à un groupe d'utilisateurs

  1. Ouvrez la console Amazon Cognito à l'adresse https://console.aws.amazon.com/cognito. Si vous y êtes invité, saisissez vos Informations d'identification AWS.

  2. Choisissez Gérer les groupes d'utilisateurs.

  3. Sur la page Vos groupes d'utilisateurs, choisissez le groupe d'utilisateurs auquel vous souhaitez ajouter des identifications.

  4. Dans le menu de navigation, choisissez Identifications.

  5. Choisissez Ajouter une identification pour ajouter votre première identification. Si vous avez déjà attribué des identifications à ce groupe d'utilisateurs, choisissez Ajouter une autre identification.

  6. Saisissez des valeurs pour Clé d'identification et Valeur d'identification.

  7. Pour chaque identification supplémentaire que vous souhaitez ajouter, choisissez Ajouter une autre identification.

  8. Après avoir ajouter les identifications, choisissez Enregistrer les modifications.

Sur la page identifications, vous pouvez également modifier les clés et les valeurs des identifications existantes. Pour supprimer une balise, choisissez le x situé dans l'angle supérieur droit de la balise.

New console

Pour ajouter des balises à un groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos AWSInformations d'identification.

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez un groupe d'utilisateurs.

  4. Choisissez l'onglet User pool properties (Propriétés du groupe d'utilisateurs) et localisez Tags (Identifications).

  5. Choisissez Ajouter des identifications pour ajouter votre première identification. Si vous avez déjà attribué des identifications à ce groupe d'utilisateurs, dans Gérer les identifications, choisissez Ajouter une autre.

  6. Spécifiez les valeurs de Clé d'identification et Valeur d'identification.

  7. Pour chaque identification supplémentaire à ajouter, choisissez Ajouter une autre identification.

  8. Une fois que vous avez ajouté des identifications, choisissez Enregistrer les modifications.

Sur la page Gérer les identifications, vous pouvez également modifier les clés et les valeurs des identifications existantes. Pour supprimer une identification, choisissez Supprimer.

Exemples AWS CLI

La AWS CLI propose des commandes qui vous permettent de gérer les identifications que vous affectez à vos groupes d'utilisateurs et d'identités Amazon Cognito.

Affectation de balises

Utilisez les commandes suivantes pour affecter des balises à vos groupes d'utilisateurs et groupes d'identités existants.

Exemple Commande tag-resource pour les groupes d'utilisateurs

Pour affecter des identifications à un groupe d'utilisateurs, utilisez tag-resource dans l'ensemble de commandes cognito-idp :

$ aws cognito-idp tag-resource \
> --resource-arn user-pool-arn \
> --tags Stage=Test

Cette commande comprend les paramètres suivants :

  • resource-arn – Amazon Resource Name (ARN) du groupe d'utilisateurs auquel vous appliquez les étiquettes. Pour rechercher l'ARN, choisissez le groupe d'utilisateurs dans la console Amazon Cognito, puis examinez la valeur ARN du groupe sous l'onglet Paramètres généraux.

  • tags – Paires clé-valeur des identifications au format key=value.

Pour affecter plusieurs balises à la fois, spécifiez-les dans une liste séparée par des virgules :

$ aws cognito-idp tag-resource \
> --resource-arn user-pool-arn \
> --tags Stage=Test,CostCenter=80432,Owner=SysEng

Exemple Commande tag-resource pour les groupes d'identités

Pour affecter des balises à un groupe d'identités, utilisez tag-resource dans l'ensemble de commandes cognito-identity :

$ aws cognito-identity tag-resource \
> --resource-arn identity-pool-arn \
> --tags Stage=Test

Cette commande comprend les paramètres suivants :

  • resource-arn – Amazon Resource Name (ARN) du groupe d'identités auquel vous appliquez les étiquettes. Pour rechercher l'ARN, choisissez le groupe d'identités dans la console Amazon Cognito, puis Modifier le groupe d'identités. Ensuite, dans ID du groupe d'identités, choisissez Afficher l'ARN.

  • tags – Paires clé-valeur des identifications au format key=value.

Pour affecter plusieurs balises à la fois, spécifiez-les dans une liste séparée par des virgules :

$ aws cognito-identity tag-resource \
> --resource-arn identity-pool-arn \
> --tags Stage=Test,CostCenter=80432,Owner=SysEng

Affichage des balises

Utilisez les commandes suivantes pour afficher les balises que vous avez attribuées à vos groupes d'utilisateurs et groupes d'identités.

Exemple Commande list-tags-for-resource pour les groupes d'utilisateurs

Pour affichez les balises qui sont affectées à un groupe d'utilisateurs, utilisez list-tags-for-resource dans l'ensemble de commandes cognito-idp :

$ aws cognito-idp list-tags-for-resource --resource-arn user-pool-arn

Exemple Commande list-tags-for-resource pour les groupes d'identités

Pour afficher les balises qui sont affectées à un groupe d'identités, utilisez list-tags-for-resource dans l'ensemble de commandes cognito-identity :

$ aws cognito-identity list-tags-for-resource --resource-arn identity-pool-arn

Suppression de balises

Utilisez les commandes suivantes pour supprimer des balises de vos groupes d'utilisateurs et groupes d'identités.

Exemple Commande untag-resource pour les groupes d'utilisateurs

Pour supprimer des identifications d'un groupe d'utilisateurs, utilisez untag-resource dans le jeu de commandes cognito-idp :

$ aws cognito-idp untag-resource \
> --resource-arn user-pool-arn \
> --tag-keys Stage CostCenter Owner

Pour --tag-keys, indiquez une ou plusieurs clés d'identification. N'incluez pas les valeurs d'identification. Clés séparées par des espaces.

Exemple Commande untag-resource pour les groupes d'identités

Pour supprimer des balises d'un groupe d'identités, utilisez untag-resource dans l'ensemble de commandes cognito-identity :

$ aws cognito-identity untag-resource \
> --resource-arn identity-pool-arn \
> --tag-keys Stage CostCenter Owner

Pour --tag-keys, indiquez une ou plusieurs clés d'identification. N'incluez pas les valeurs d'identification.

Important

Après avoir supprimé un groupe d'utilisateurs ou d'identités, les identifications associées au groupe supprimé peuvent toujours apparaître dans la console ou les appels d'API jusqu'à 30 jours après la suppression.

Application de balises au moment de créer des ressources

Utilisez les commandes suivantes pour affecter des balises au moment de créer un groupe d'utilisateurs ou un groupe d'identités.

Exemple Commande create-user-pool avec des identifications

Lorsque vous créez un groupe d'utilisateurs à l'aide de la commande create-user-pool, vous pouvez spécifier des balises avec le paramètre --user-pool-tags :

$ aws cognito-idp create-user-pool \
> --pool-name user-pool-name \
> --user-pool-tags Stage=Test,CostCenter=80432,Owner=SysEng

Les paires clé-valeur pour les identifications doivent être au format key=value. Si vous ajoutez plusieurs identifications, spécifiez-les dans une liste d'éléments séparés par une virgule

Exemple Commande create-identity-pool avec des identifications

Lorsque vous créez un groupe d'identités à l'aide de la commande create-identity-pool, vous pouvez indiquer des balises avec le paramètre --identity-pool-tags :

$ aws cognito-identity create-identity-pool \
> --identity-pool-name identity-pool-name \
> --allow-unauthenticated-identities \
> --identity-pool-tags Stage=Test,CostCenter=80432,Owner=SysEng

Les paires clé-valeur des identifications doivent être au format key=value. Si vous ajoutez plusieurs identifications, spécifiez-les dans une liste d'éléments séparés par une virgule.

Gestion des identifications à l'aide de l'API Amazon Cognito

Vous pouvez utiliser les actions suivantes dans l'API Amazon Cognito pour gérer les étiquettes de vos groupes d'utilisateurs et d'identités.

Actions d'API pour les identifications de groupe d'utilisateurs

Utilisez les actions d'API suivantes pour affecter, afficher et supprimer des balises pour les groupes d'utilisateurs.

Actions d'API pour les identifications de groupe d'identités

Utilisez les actions d'API suivantes pour affecter, afficher et supprimer des balises pour les groupes d'identités.