Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Utilisation de rôles liés à un service pour Amazon Cognito

PDF
Mode de mise au point
Utilisation de rôles liés à un service pour Amazon Cognito - Amazon Cognito
Autorisations de rôle lié à un service pour Amazon CognitoCréation d’un rôle lié à un service pour Amazon CognitoModification d’un rôle lié à un service pour Amazon CognitoSuppression d’un rôle lié à un service pour Amazon CognitoRégions prises en charge pour les rôles liés à un service Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Cognito utilise des rôles liés à un AWS Identity and Access Management service (IAM). Un rôle lié à un service est un type unique de rôle IAM doté d'une politique de confiance qui permet à un homme d' Service AWS assumer ce rôle. Les rôles liés à un service sont prédéfinis par Amazon Cognito et incluent toutes les autorisations dont le service a besoin pour appeler AWS d'autres services en votre nom.

Un rôle lié à un service simplifie la configuration d’Amazon Cognito, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Amazon Cognito définissant les autorisations de ses rôles liés à un service, sauf définition contraire, seul Amazon Cognito peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Amazon Cognito sont ainsi protégées, car vous ne pouvez pas supprimer involontairement l’autorisation d’accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez Services AWS qui fonctionnent avec IAM et recherchez les services pour lesquels Yes (Oui) est sélectionné dans la colonne Service-Linked Role (Rôle lié aux services). Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations de rôle lié à un service pour Amazon Cognito

Amazon Cognito utilise les rôles liés à un service suivants :

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Permet au service de groupes d'utilisateurs Amazon Cognito d'utiliser vos identités Amazon SES pour envoyer des e-mails.

  • AWSServiceRoleForAmazonCognitoIdp— Permet aux groupes d'utilisateurs Amazon Cognito de publier des événements et de configurer des points de terminaison pour vos projets Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

Le rôle lié à un service AWSServiceRoleForAmazonCognitoIdpEmailService approuve les services suivants pour endosser le rôle :

  • email.cognito-idp.amazonaws.com

La politique d’autorisations de rôle permet à Amazon Cognito d’effectuer les actions suivantes sur les ressources spécifiées :

Actions autorisées pour AWSService RoleForAmazonCognitoIdpEmailService :

  • Action : ses:SendEmail et ses:SendRawEmail

  • Ressource: *

La politique refuse à Amazon Cognito la possibilité d’effectuer les actions suivantes sur les ressources spécifiées :

Actions refusées

  • Action : ses:List*

  • Ressource: *

Avec ces autorisations, Amazon Cognito peut utiliser vos adresses électroniques vérifiées dans Amazon SES uniquement pour envoyer des courriels à vos utilisateurs. Amazon Cognito envoie des courriels à vos utilisateurs quand ceux-ci effectuent certaines actions dans l’appli cliente pour un groupe d’utilisateurs, comme une inscription ou une réinitialisation de mot de passe.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

AWSServiceRoleForAmazonCognitoIdp

Le rôle AWSService RoleForAmazonCognitoIdp lié à un service fait confiance aux services suivants pour assumer le rôle :

  • email.cognito-idp.amazonaws.com

La politique d’autorisations de rôle permet à Amazon Cognito d’effectuer les actions suivantes sur les ressources indiquées :

Actions autorisées pour AWSService RoleForAmazonCognitoIdp

  • Action : cognito-idp:Describe

  • Ressource: *

Avec cette autorisation, Amazon Cognito peut appeler les opérations d’API Amazon Cognito Describe pour vous.

Note

Lorsque vous intégrez Amazon Cognito avec Amazon Pinpoint en utilisant createUserPoolClient et updateUserPoolClient, des autorisations d’accès aux ressources sont ajoutées au rôle lié à un service (SLR) en tant que politique incluse. La politique incluse fournit des autorisations mobiletargeting:UpdateEndpoint et mobiletargeting:PutEvents. Celles-ci permettent à Amazon Cognito de publier des événements et de configurer des points de terminaison pour les projets Pinpoint que vous intégrez avec Cognito.

Création d’un rôle lié à un service pour Amazon Cognito

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous configurez un groupe d'utilisateurs afin qu'il utilise votre configuration Amazon SES pour gérer la livraison des e-mails dans l' AWS Management Console API Amazon Cognito ou dans l'API Amazon Cognito, Amazon Cognito crée le rôle lié au service pour vous. AWS CLI

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez un groupe d’utilisateurs pour utiliser votre configuration Amazon SES pour gérer la livraison des courriels, Amazon Cognito crée à nouveau le rôle lié à un service pour vous.

Pour permettre à Amazon Cognito de créer ce rôle, les autorisations IAM que vous utilisez pour configurer votre groupe d’utilisateurs doivent inclure l’action iam:CreateServiceLinkedRole. Pour plus d’informations sur la mise à jour des autorisations dans IAM, consultez Modification des autorisations pour un utilisateur IAM dans le Guide de l’utilisateur IAM.

Modification d’un rôle lié à un service pour Amazon Cognito

Vous ne pouvez pas modifier les rôles AmazonCognitoIdp ou les rôles AmazonCognitoIdpEmailService liés à un service dans. AWS Identity and Access Management Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.

Suppression d’un rôle lié à un service pour Amazon Cognito

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. Si vous supprimez ce rôle, vous ne retenez que les entités qu’Amazon Cognito surveille ou gère activement. Avant de supprimer des rôles AmazonCognitoIdp ou des rôles AmazonCognitoIdpEmailService liés à un service, vous devez effectuer l'une des opérations suivantes pour chaque groupe d'utilisateurs qui utilise le rôle :

  • Supprimer le groupe d’utilisateurs.

  • Mettre à jour les paramètres de messagerie dans le groupe d’utilisateurs afin d’utiliser la fonctionnalité de messagerie par défaut. Le paramètre par défaut n’utilise pas le rôle lié à un service.

N'oubliez pas d'exécuter l'action dans chacune d'elles Région AWS avec un groupe d'utilisateurs utilisant le rôle.

Note

Si le service Amazon Cognito utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer un groupe d’utilisateurs Amazon Cognito

  1. Connectez-vous à la console Amazon Cognito AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/cognito

  2. Sélectionnez Gérer les groupes d’utilisateurs.

  3. Sur la page Vos groupes d’utilisateurs, choisissez le groupe d’utilisateurs que vous souhaitez supprimer.

  4. Sélectionnez Supprimer le groupe.

  5. Dans la fenêtre Supprimer un groupe d’utilisateurs, saisissez delete, puis choisissez Supprimer le groupe.

Pour mettre à jour un groupe d’utilisateurs Amazon Cognito afin qu’il utilise la fonctionnalité de courriel par défaut

  1. Connectez-vous à la console Amazon Cognito AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/cognito

  2. Sélectionnez Gérer les groupes d’utilisateurs.

  3. Sur la page Vos groupes d’utilisateurs, choisissez le groupe d’utilisateurs que vous souhaitez mettre à jour.

  4. Dans le menu de navigation de gauche, choisissez Personnalisation des messages.

  5. Sous Do you want to send emails through your Amazon SES Configuration? (Voulez-vous à envoyer les courriels via votre configuration Amazon SES ?), choisissez No - Use Cognito (Default) [Non - Utiliser Cognito (par défaut)].

  6. Une fois que vous avez défini les options de votre compte de messagerie, choisissez Enregistrer les modifications.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM AWS CLI, l'API ou l' AWS API pour supprimer des rôles AmazonCognitoIdp ou liés à un AmazonCognitoIdpEmailService service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles liés à un service Amazon Cognito

Amazon Cognito prend en charge les rôles liés au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez Régions AWS and Endpoints.

Sur cette page

Related resources

Groupes d'utilisateurs Amazon Cognito Référence d'API
AWS CLI commandes pour Groupes d'utilisateurs Amazon Cognito
SDKs et outils 

Related resources

Groupes d'utilisateurs Amazon Cognito Référence d'API
AWS CLI commandes pour Groupes d'utilisateurs Amazon Cognito
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.