「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
ユーザープールにグループを追加する
Amazon Cognito ユーザープールのグループのサポートにより、ユーザーの作成と管理、グループへのユーザーの追加、およびグループからのユーザーの削除が可能になります。グループを使用して、ユーザーのコレクションを作成してそのアクセス権限を管理したり、異なるタイプのユーザーを表したりできます。グループに AWS Identity and Access Management (IAM) ロールを割り当てて、グループのメンバーのアクセス権限を定義できます。
グループを使用して、ユーザープールでユーザーのコレクションを作成できます。この操作は、これらのユーザーのアクセス権限を設定するためによく行われます。たとえば、ウェブサイトやアプリの読者、寄稿者、および編集者であるユーザーに対して別個のグループを作成できます。また、グループに関連付けられた IAM ロールを使用すると、これらの異なるグループに別のアクセス権限を設定し、寄稿者のみがコンテンツを Amazon S3 に配置し、編集者のみが Amazon API Gateway. の API を通じてコンテンツを発行するようにできます。
ユーザープールのグループはAWS マネジメントコンソール、、、および CLI から作成APIsおよび管理できます。開発者として (AWS 認証情報を使用)、ユーザープールのグループを作成、読み込み、更新、削除、およびリストすることができます。また、グループに対してユーザーを追加、削除できます。
ユーザープール内のグループを使用しても追加コストは発生しません。詳細については、「 Amazon Cognito 料金表
この機能は、 SpaceFinder
グループへの IAM ロールの割り当て
グループを使用して、IAM ロールでリソースへのアクセス許可を制御できます。IAM ロールには、信頼ポリシーとアクセス許可ポリシーが含まれます。ロールの信頼ポリシーは、ロールを使用できるユーザーを指定します。アクセス許可ポリシーは、グループメンバーがアクセスできるアクションとリソースを指定します。IAM ロールを作成するときに、グループユーザーがロールを引き受けることを許可するロールの信頼ポリシーを設定します。ロールのアクセス許可ポリシーで、グループに付与するアクセス許可を指定します。
Amazon Cognito でグループを作成するときは、ロールの ARN.を指定して IAM ロールを指定します。グループメンバーが Amazon Cognito を使用してサインインすると、ID プールから一時的な認証情報を受け取ることができます。それらのアクセス許可は、関連付けられた IAM ロールによって決まります。
各ユーザーは複数のグループに属することができます。開発者には、ユーザーが複数のグループに属している場合に IAM ロールを自動的に選択する次のオプションがあります。
-
各グループに優先順位の値を割り当てることができます。優先順位が高い (値が低い) グループが選択され、関連付けられた IAM ロールが適用されます。
-
アプリは、ID プールを通じてユーザーのAWS認証情報をリクエストするときに、 GetCredentialsForIdentity
CustomRoleARN
パラメータでロール ARN を指定することで、使用可能なロールから選択することもできます。指定された IAM ロールは、ユーザーが利用できるロールに一致する必要があります。
グループへの優先順位の値の割り当て
ユーザーは複数のグループに属することができます。ユーザーの ID トークンで、cognito:groups
クレームに、ユーザーが属するすべてのグループのリストが含まれます。cognito:roles
クレームには、グループに対応するロールのリストが含まれます。
ユーザーは複数のグループに属することができるので、各グループに優先順位を割り当てることができます。これは、ユーザーがユーザープールで属することができるその他のグループに対するこのグループの優先順字を指定する正数です。ゼロが最優先順位値です。低い優先順位の値を持つグループは、高い優先順位の値または
null 値を持つグループよりも優先されます。ユーザーが複数のグループに属している場合、こは IAM ロールがユーザーの ID トークンで cognito:preferred_role
クレームに適用されている、最も優先順位の値が低いグループです。
2 つのグループは、同じ優先順位の値を持つことができます。その場合は、どちらのグループも他方に対して優先されません。同じ優先順位の値を持つ 2 つのグループのロール
ARN が同じである場合、そのロールは、各グループのユーザーの ID トークンの cognito:preferred_role
クレームで使用されます。2 つのグループに異なるロール がある場合ARNs、cognito:preferred_role
クレームはユーザーの ID トークンに設定されません。
グループと を使用したアクセス権限の管理Amazon API Gateway
ユーザープールのグループを使用して、 でアクセス権限を管理できます。Amazon API Gateway. ユーザーがメンバーであるグループは、ユーザーがサインインするときにユーザープールによって提供される
ID トークンに含まれています。リクエストによってこれらの ID トークンを Amazon API Gateway に送信し、カスタムオーソライザー Lambda
関数を使ってトークンを検証してから、ユーザーが属しているグループを検査できます。 カスタムオーソライザーでユーザープールトークンを使用する例については、この
グループの制限
ユーザーグループには、次の制限が適用されます。
-
作成できるグループの数は、Amazon Cognito のサービス制限.によって制限されます。
-
グループはネストできません。
-
グループのユーザーを検索することはできません。
-
グループを名前で検索することはできませんが、グループをリストすることはできます。
-
メンバーが存在しないグループのみを削除できます。
での新しいグループの作成AWS マネジメントコンソール
[ユーザーとグループ] タブの [グループ] タブには、[グループの作成] ボタンがあります。

[グループの作成] を選択すると、[グループの作成] フォームが表示されます。このフォームに、新しいグループに関する情報を入力します。[名前] フィールドのみが必須です。ID プールとユーザープールを統合する場合、[IAM ロール] 設定によって、ID プールがトークンからロールを選択するように設定されている場合、ユーザーの ID トークンに割り当てられるロールが決まります。既にロールを定義していない場合は、[新しいロールの作成.] を選択します。複数のグループがあり、ユーザーを複数のグループに割り当てることができる場合は、各グループの [Precedence (優先順位)] 値を設定できます。優先順位の値は正の整数である場合があります。ゼロが最優先順位値です。
