Amazon Cognito ユーザープールのアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Cognito ユーザープールのアクション、リソース、および条件キー

Amazon Cognito ユーザープール (サービスプレフィックス: cognito-idp) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Cognito ユーザープールで定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddCustomAttributes 追加のユーザー属性をユーザープールスキーマに追加します。 書き込み

userpool*

AdminAddUserToGroup 指定のグループに指定のユーザーを追加します。 書き込み

userpool*

AdminConfirmSignUp 確認コードを使用せずに、ユーザー登録を管理者として確認します。すべてのユーザーで動作します。 書き込み

userpool*

AdminCreateUser 指定されたユーザープールに新しいユーザーを作成し、E メールまたは電話 (SMS) でウェルカムメッセージを送信します。 書き込み

userpool*

AdminDeleteUser 管理者としてユーザーを削除します。すべてのユーザーで動作します。 書き込み

userpool*

AdminDeleteUserAttributes ユーザープールのユーザー属性を管理者として削除します。すべてのユーザーで動作します。 書き込み

userpool*

AdminDisableProviderForUser 指定した外部 (SAML またはソーシャル) ID プロバイダーでユーザーによるサインインを防止します。 書き込み

userpool*

AdminDisableUser 指定されたユーザーを管理者として無効にします。すべてのユーザーで動作します。 書き込み

userpool*

AdminEnableUser 指定されたユーザーを管理者として有効にします。すべてのユーザーで動作します。 書き込み

userpool*

AdminForgetDevice デバイスを管理者として削除します。 書き込み

userpool*

AdminGetDevice 管理者としてデバイスを取得します。 Read

userpool*

AdminGetUser 指定されたユーザーを管理者としてユーザープールのユーザー名ごとに取得します。すべてのユーザーで動作します。 Read

userpool*

AdminInitiateAuth ユーザープールのユーザーを管理者として認証します。すべてのユーザーで動作します。 書き込み

userpool*

AdminLinkProviderForUser ユーザープールの既存のユーザーアカウントを、外部 ID プロバイダーから指定された属性に基づいて外部 ID プロバイダー (SourceUser) からの ID にリンクします。 書き込み

userpool*

AdminListDevices 管理者としてデバイスを一覧表示します。 リスト

userpool*

AdminListGroupsForUser ユーザーが属するグループを一覧表示します。 リスト

userpool*

AdminListUserAuthEvents ユーザーの認証イベントを一覧表示します。 Read

userpool*

AdminRemoveUserFromGroup 指定のグループから指定のユーザーを削除します。 書き込み

userpool*

AdminResetUserPassword ユーザープールの指定されたユーザーのパスワードを管理者としてリセットします。すべてのユーザーで動作します。 書き込み

userpool*

AdminRespondToAuthChallenge 管理者として、認証チャレンジに応答します。 書き込み

userpool*

AdminSetUserMFAPreference ユーザープールのユーザーに MFA を設定します。 書き込み

userpool*

AdminSetUserPassword ユーザープールの指定されたユーザーのパスワードを管理者として設定します。すべてのユーザーで動作します。 書き込み

userpool*

AdminSetUserSettings 指定されたユーザー名のすべてのユーザーを設定します。すべてのユーザーで動作します。 書き込み

userpool*

AdminUpdateAuthEventFeedback ユーザー認証イベントのフィードバックを更新します。 書き込み

userpool*

AdminUpdateDeviceStatus デバイスステータスを管理者として更新します。 書き込み

userpool*

AdminUpdateUserAttributes 指定されたユーザーの属性 (例: 開発者の属性) を管理者として更新します。 書き込み

userpool*

AdminUserGlobalSignOut 管理者として、すべてのデバイスからユーザーをサインアウトします。 書き込み

userpool*

AssociateSoftwareToken ユーザーアカウントに対して一意に生成された共有シークレットキーコードを返します。 書き込み
ChangePassword ユーザープールの指定されたユーザーのパスワードを変更します。 書き込み
ConfirmDevice デバイスの追跡を確認します。この API コールによって、デバイス追跡が開始します。 書き込み
ConfirmForgotPassword 忘れたパスワードをリセットする確認コードをユーザーが入力できるようにします。 書き込み
ConfirmSignUp ユーザーの登録を確認し、以前のユーザーからの既存のエイリアスを処理します。 書き込み
CreateGroup 指定されたユーザープールに新しいグループを作成します。 書き込み

userpool*

CreateIdentityProvider ユーザープールの ID プロバイダーを作成します。 書き込み

userpool*

CreateResourceServer 新しい OAuth 2.0 リソースサーバーを作成してそのサーバーでカスタムスコープを定義します。 書き込み

userpool*

CreateUserImportJob ユーザーインポートジョブを作成します。 書き込み

userpool*

CreateUserPool 新しい Amazon Cognito ユーザープールを作成し、プールのパスワードポリシーを設定します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

CreateUserPoolClient ユーザープールのクライアントを作成します。 書き込み

userpool*

CreateUserPoolDomain ユーザープールの新しいドメインを作成します。 書き込み

userpool*

DeleteGroup グループを削除します。現在メンバーが存在しないグループのみ削除できます。 書き込み

userpool*

DeleteIdentityProvider ユーザープールの ID プロバイダーを削除します。 書き込み

userpool*

DeleteResourceServer リソースサーバーを削除します。 書き込み

userpool*

DeleteUser ユーザーが自身を削除することを許可します。 書き込み
DeleteUserAttributes ユーザーの属性を削除します。 書き込み
DeleteUserPool 指定された Amazon Cognito ユーザープールを削除します。 書き込み

userpool*

DeleteUserPoolClient 開発者によるユーザープールクライアントの削除を許可します。 書き込み

userpool*

DeleteUserPoolDomain ユーザープールのドメインを削除します。 書き込み

userpool*

DescribeIdentityProvider 特定の ID プロバイダーに関する情報を取得します。 Read

userpool*

DescribeResourceServer リソースサーバーの説明を表示します。 Read

userpool*

DescribeRiskConfiguration ユーザープール/ユーザープールクライアントのリスク設定の説明を表示します。 Read

userpool*

DescribeUserImportJob ユーザーインポートジョブの説明を表示します。 Read

userpool*

DescribeUserPool 指定されたユーザープールの設定情報とメタデータを返します。 Read

userpool*

DescribeUserPoolClient 指定されたユーザープールクライアントの設定情報とメタデータを返すクライアントメソッド。 Read

userpool*

DescribeUserPoolDomain ドメインに関する情報を取得します。 Read
ForgetDevice 指定されたデバイスを消去します。 書き込み
ForgotPassword この API を呼び出すと、ユーザーのパスワードを変更するために必要な確認コードとともにメッセージがエンドユーザーに送信されます。 書き込み
GetCSVHeader ユーザーインポートジョブの入力として使用される .csv ファイルのヘッダー情報を取得します。 Read

userpool*

GetDevice デバイスを取得します。 Read
GetGroup グループを取得します。 Read

userpool*

GetIdentityProviderByIdentifier 指定された ID プロバイダーを取得します。 Read

userpool*

GetSigningCertificate 署名用証明書を返します。 Read

userpool*

GetUICustomization 設定されているものがある場合、特定のアプリのクライアントのアプリ UI の UI カスタマイズ情報を取得します。 Read

userpool*

GetUser ユーザー属性およびユーザーのメタデータを取得します。 Read
GetUserAttributeVerificationCode 指定された属性名のユーザー属性検証コードを取得します。 Read
GetUserPoolMfaConfig ユーザープールの MFA 設定を取得します。 Read

userpool*

GlobalSignOut すべてのデバイスからユーザーをサインアウトします。 書き込み
InitiateAuth 認証フローを開始します。 書き込み
ListDevices デバイスを一覧表示します。 リスト
ListGroups ユーザープールに関連付けられたグループを一覧表示します。 リスト

userpool*

ListIdentityProviders ユーザープールのすべての ID プロバイダーに関する情報を一覧表示します。 リスト

userpool*

ListResourceServers ユーザープールのリソースサーバーを一覧表示します。 リスト

userpool*

ListTagsForResource Amazon Cognito ユーザープールに割り当てられているタグを一覧表示します。 リスト

userpool

ListUserImportJobs ユーザーインポートジョブを一覧表示します。 リスト

userpool*

ListUserPoolClients 指定したユーザープール用に作成されたクライアントを一覧表示します。 リスト

userpool*

ListUserPools AWS アカウントに関連付けられたユーザープールを一覧表示します。 リスト
ListUsers Amazon Cognito ユーザープールのユーザーを一覧表示します。 リスト

userpool*

ListUsersInGroup 指定されたグループのユーザーを一覧表示します。 リスト

userpool*

ResendConfirmationCode ユーザープールの特定のユーザーに確認を送信します (登録の確認用)。 書き込み
RespondToAuthChallenge 認証チャレンジに応答します。 書き込み
SetRiskConfiguration ユーザープール/ユーザープールクライアントのリスク設定を行います。 書き込み

userpool*

SetUICustomization ユーザープールの組み込みアプリ UI の UI のカスタマイズ情報を設定します。 書き込み

userpool*

SetUserMFAPreference ユーザープールのユーザーに MFA を設定します。 書き込み
SetUserPoolMfaConfig ユーザープールの MFA を設定します。 書き込み

userpool*

SetUserSettings Multi-Factor Authentication (MFA) のようなユーザー設定を行います。 書き込み
SignUp 指定されたユーザープールにユーザーを登録し、ユーザー名、パスワード、およびユーザー属性を作成します。 書き込み
StartUserImportJob ユーザーのインポートを開始します。 書き込み

userpool*

StopUserImportJob ユーザーインポートジョブを停止します。 書き込み

userpool*

TagResource 一連のタグを Amazon Cognito ユーザープールに割り当てます。 タグ付け

userpool

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Amazon Cognito ユーザープールから指定したタグを削除します。 タグ付け

userpool

aws:TagKeys

UpdateAuthEventFeedback ユーザー認証イベントのフィードバックを更新します。 書き込み

userpool*

UpdateDeviceStatus デバイスステータスを更新します。 書き込み
UpdateGroup 指定された属性で指定されたグループを更新します。 書き込み

userpool*

UpdateIdentityProvider ユーザープールの ID プロバイダー情報を更新します。 書き込み

userpool*

UpdateResourceServer リソースサーバーの名前とスコープを更新します。 書き込み

userpool*

UpdateUserAttributes 特定の属性の更新をユーザーに許可します (一度に 1 つ)。 書き込み
UpdateUserPool 指定された属性で指定されたユーザープールを更新します。 書き込み

userpool*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateUserPoolClient 指定されたユーザープールクライアントおよびパスワードポリシーを開発者が更新できるようにします。 書き込み

userpool*

UpdateUserPoolDomain ユーザープールのカスタムドメインの Secure Sockets Layer (SSL) 証明書を更新します。 書き込み

userpool*

VerifySoftwareToken ユーザーの入力された TOTP コードを登録し、成功した場合は、ユーザーのソフトウェアトークン MFA ステータスを検証済みとしてマークします。 書き込み
VerifyUserAttribute 1 回限りの検証コードを使用してユーザー属性を検証します。 書き込み

Amazon Cognito ユーザープールで定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
userpool arn:${Partition}:cognito-idp:${Region}:${Account}:userpool/${UserPoolId}

aws:ResourceTag/${TagKey}

Amazon Cognito ユーザープールの条件キー

Amazon CloudWatch Events は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストに存在するキーによってアクセスをフィルタリングします。 文字列