Utilisation de rôles liés à un service pour Amazon Cognito - Amazon Cognito

Utilisation de rôles liés à un service pour Amazon Cognito

Amazon Cognito utilise des rôles liés à un service AWS Identity and Access Management (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Amazon Cognito. Les rôles liés à un service sont prédéfinis par Amazon Cognito et incluent toutes les autorisations que le service requiert pour appeler d'autres services AWS en votre nom.

Un rôle lié à un service simplifie la configuration d'Amazon Cognito, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Amazon Cognito définissant les autorisations de ses rôles liés à un service, sauf définition contraire, seul Amazon Cognito peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Amazon Cognito sont ainsi protégées, car vous ne pouvez pas supprimer involontairement l'autorisation d'accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM et recherchez les services où Oui figure dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations de rôle lié à un service pour Amazon Cognito

Amazon Cognito utilise les rôles liés à un service suivants :

  • AWSServiceRoleForAmazonCognitoIdpEmailService – Permet au service de groupes d'utilisateurs Amazon Cognito d'utiliser vos identités Amazon SES pour envoyer des e-mails.

  • AWSServiceRoleForAmazonCognitoIdp – Permet aux groupes d'utilisateurs Amazon Cognito de publier des événements et de configurer des points de terminaison pour vos projets Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

Le rôle lié à un service AWSServiceRoleForAmazonCognitoIdpEmailService approuve les services suivants pour endosser le rôle :

  • email.cognito-idp.amazonaws.com

La politique d'autorisations de rôle permet à Amazon Cognito d'effectuer les actions suivantes sur les ressources spécifiées :

Actions autorisées pour AWSServiceRoleForAmazonCognitoIdpEmailService :

  • Action : ses:SendEmail et ses:SendRawEmail

  • Ressource : *

La politique refuse à Amazon Cognito la possibilité d'effectuer les actions suivantes sur les ressources spécifiées :

Actions refusées

  • Action : ses:List*

  • Ressource : *

Avec ces autorisations, Amazon Cognito peut utiliser vos adresses électroniques vérifiées dans Amazon SES uniquement pour envoyer des courriels à vos utilisateurs. Amazon Cognito envoie des courriels à vos utilisateurs quand ceux-ci effectuent certaines actions dans l'appli cliente pour un groupe d'utilisateurs, comme une inscription ou une réinitialisation de mot de passe.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM.

AWSServiceRoleForAmazonCognitoIdp

Le rôle lié à un service AWSServiceRoleForAmazonCognitoIdp approuve les services suivants pour endosser le rôle :

  • email.cognito-idp.amazonaws.com

La politique d'autorisations de rôle permet à Amazon Cognito d'effectuer les actions suivantes sur les ressources indiquées :

Actions autorisées pour AWSServiceRoleForAmazonCognitoIdp

  • Action : cognito-idp:Describe

  • Ressource : *

Avec cette autorisation, Amazon Cognito peut appeler les opérations d'API Amazon Cognito Describe pour vous.

Note

Lorsque vous intégrez Amazon Cognito avec Amazon Pinpoint en utilisant createUserPoolClient et updateUserPoolClient, des autorisations d'accès aux ressources sont ajoutées au rôle lié à un service (SLR) en tant que politique incluse. La politique incluse fournit des autorisations mobiletargeting:UpdateEndpoint et mobiletargeting:PutEvents. Celles-ci permettent à Amazon Cognito de publier des événements et de configurer des points de terminaison pour les projets Pinpoint que vous intégrez avec Cognito.

Création d'un rôle lié à un service pour Amazon Cognito

Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous configurez un groupe d'utilisateurs pour utiliser votre configuration Amazon SES pour gérer la livraison des courriels dans la AWS Management Console, la AWS CLI, ou l'API Amazon Cognito, Amazon Cognito crée le rôle lié à un service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez un groupe d'utilisateurs pour utiliser votre configuration Amazon SES pour gérer la livraison des courriels, Amazon Cognito crée à nouveau le rôle lié à un service pour vous.

Pour permettre à Amazon Cognito de créer ce rôle, les autorisations IAM que vous utilisez pour configurer votre groupe d'utilisateurs doivent inclure l'action iam:CreateServiceLinkedRole. Pour plus d'informations sur la mise à jour des autorisations dans IAM, consultez Modification des autorisations pour un utilisateur IAM dans le Guide de l'utilisateur IAM.

Modification d'un rôle lié à un service pour Amazon Cognito

Vous ne pouvez pas modifier les rôles liés à un service AmazonCognitoIdp ou AmazonCognitoIdpEmailService dans AWS Identity and Access Management. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour en savoir plus, consultez Modification d'un rôle lié à un service dans le guide de l'utilisateur IAM.

Suppression d'un rôle lié à un service pour Amazon Cognito

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. Si vous supprimez ce rôle, vous ne retenez que les entités qu'Amazon Cognito surveille ou gère activement. Avant de pouvoir supprimer les rôles liés à un service AmazonCognitoIdp ou AmazonCognitoIdpEmailService, vous devez effectuer l'une des actions suivantes pour chaque groupe d'utilisateurs utilisant le rôle :

  • Supprimer le groupe d'utilisateurs.

  • Mettre à jour les paramètres de messagerie dans le groupe d'utilisateurs afin d'utiliser la fonctionnalité de messagerie par défaut. Le paramètre par défaut n'utilise pas le rôle lié à un service.

N'oubliez pas d'effectuer l'action dans chaque Région AWS avec un groupe d'utilisateurs utilisant le rôle.

Note

Si le service Amazon Cognito utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer un groupe d'utilisateurs Amazon Cognito

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Cognito à l'adresse https://console.aws.amazon.com/cognito.

  2. Sélectionnez Gérer les groupes d'utilisateurs.

  3. Sur la page Vos groupes d'utilisateurs, choisissez le groupe d'utilisateurs que vous souhaitez supprimer.

  4. Sélectionnez Supprimer le groupe.

  5. Dans la fenêtre Supprimer un groupe d'utilisateurs, saisissez delete, puis choisissez Supprimer le groupe.

Pour mettre à jour un groupe d'utilisateurs Amazon Cognito afin qu'il utilise la fonctionnalité de courriel par défaut

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Cognito à l'adresse https://console.aws.amazon.com/cognito.

  2. Sélectionnez Gérer les groupes d'utilisateurs.

  3. Sur la page Vos groupes d'utilisateurs, choisissez le groupe d'utilisateurs que vous souhaitez mettre à jour.

  4. Dans le menu de navigation de gauche, choisissez Personnalisation des messages.

  5. Sous Do you want to send emails through your Amazon SES Configuration? (Voulez-vous à envoyer les courriels via votre configuration Amazon SES ?), choisissez No - Use Cognito (Default) [Non - Utiliser Cognito (par défaut)].

  6. Une fois que vous avez défini les options de votre compte de messagerie, choisissez Enregistrer les modifications.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, l'interface AWS CLI ou l'API AWS pour supprimer les rôles liés à un service AmazonCognitoIdp ou AmazonCognitoIdpEmailService. Pour plus d'informations, veuillez consulter Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles liés à un service Amazon Cognito

Amazon Cognito prend en charge les rôles liés à un service dans toutes les Régions AWS où le service est disponible. Pour plus d'informations, consultez Régions AWS and Endpoints.