Como usar funções vinculadas a serviço para o Amazon Cognito - Amazon Cognito
Permissões de função vinculada a serviço para o Amazon CognitoComo criar uma função vinculada a serviço para o Amazon CognitoComo editar uma função vinculada a serviço para o Amazon CognitoComo excluir uma função vinculada a serviço para o Amazon CognitoRegiões compatíveis com funções vinculadas a serviço do Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar funções vinculadas a serviço para o Amazon Cognito

O Amazon Cognito usa AWS Identity and Access Management (IAM) funções vinculadas a serviços. Uma função vinculada ao serviço é um tipo exclusivo de IAM função com uma política de confiança que permite que um homem assuma serviço da AWS a função. As funções vinculadas ao serviço são predefinidas pelo Amazon Cognito e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do Amazon Cognito porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Cognito define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Amazon Cognito pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do Amazon Cognito, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada a serviço para o Amazon Cognito

O Amazon Cognito usa funções vinculadas ao serviço:

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Permite que o serviço de grupos de usuários do Amazon Cognito use SES suas identidades da Amazon para enviar e-mails.

  • AWSServiceRoleForAmazonCognitoIdp— Permite que grupos de usuários do Amazon Cognito publiquem eventos e configurem endpoints para seus projetos do Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

A função vinculada ao serviço AWSServiceRoleForAmazonCognitoIdpEmailService confia nos seguintes serviços para aceitar a função:

  • email.cognito-idp.amazonaws.com

A política de permissões da função permite que o Amazon Cognito conclua as seguintes ações nos recursos especificados:

Ações permitidas para AWSServiceRoleForAmazonCognitoIdpEmailService:

  • Ação: ses:SendEmail e ses:SendRawEmail

  • Recurso: *

A política nega ao Amazon Cognito a capacidade de realizar as seguintes ações nos recursos especificados:

Ações negadas

  • Ação: ses:List*

  • Recurso: *

Com essas permissões, o Amazon Cognito pode usar seus endereços de e-mail verificados na Amazon SES somente para enviar e-mails aos seus usuários. O Amazon Cognito envia e-mails aos seus usuários quando eles executam determinadas ações na aplicação cliente para um grupo de usuários, como cadastramento ou redefinição de uma senha.

Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.

AWSServiceRoleForAmazonCognitoIdp

A função AWSServiceRoleForAmazonCognitoIdp vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • email.cognito-idp.amazonaws.com

A política de permissões da função permite que o Amazon Cognito conclua as seguintes ações nos recursos especificados:

Ações permitidas para AWSServiceRoleForAmazonCognitoIdp

  • Ação: cognito-idp:Describe

  • Recurso: *

Com essa permissão, o Amazon Cognito pode chamar Describe as operações do Amazon API Cognito para você.

nota

Quando você integra o Amazon Cognito ao Amazon Pinpoint createUserPoolClient usando updateUserPoolClient e, as permissões de recursos serão adicionadas ao como uma política SLR embutida. A política em linha fornecerá permissões mobiletargeting:UpdateEndpoint e mobiletargeting:PutEvents. Com essas permissões, o Amazon Cognito publica eventos e configura endpoints para projetos do Pinpoint que você integra ao Cognito.

Como criar uma função vinculada a serviço para o Amazon Cognito

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você configura um grupo de usuários para usar sua SES configuração da Amazon para lidar com a entrega de e-mail no AWS Management Console, no ou no Amazon Cognito AWS CLI, o Amazon Cognito API cria a função vinculada ao serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você configura um grupo de usuários para usar sua SES configuração da Amazon para lidar com a entrega de e-mails, o Amazon Cognito cria a função vinculada ao serviço para você novamente.

Antes que o Amazon Cognito possa criar essa função, as IAM permissões que você usa para configurar seu grupo de usuários devem incluir a iam:CreateServiceLinkedRole ação. Para obter mais informações sobre a atualização de permissões emIAM, consulte Alterando as permissões de um IAM usuário no Guia IAM do usuário.

Como editar uma função vinculada a serviço para o Amazon Cognito

Você não pode editar as funções AmazonCognitoIdp ou funções AmazonCognitoIdpEmailService vinculadas ao serviço em. AWS Identity and Access Management Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.

Como excluir uma função vinculada a serviço para o Amazon Cognito

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Se você excluir a função, só reterá entidades que o Amazon Cognito monitora ou mantém ativamente. Antes de excluir AmazonCognitoIdp ou AmazonCognitoIdpEmailService vincular funções ao serviço, você deve fazer o seguinte para cada grupo de usuários que usa a função:

  • Exclua o grupo de usuários.

  • Atualize as configurações de e-mail no grupo de usuários para usar a funcionalidade de e-mail padrão. A configuração padrão não usa a função vinculada ao serviço.

Lembre-se de realizar a ação em cada um Região da AWS com um grupo de usuários que usa a função.

nota

Se o serviço do Amazon Cognito estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir um grupo de usuários do Amazon Cognito

  1. Faça login no AWS Management Console e abra o console do Amazon Cognito em. https://console.aws.amazon.com/cognito

  2. Selecione Manage User Pools.

  3. Na página Your User Pools (Seus grupos de usuários), escolha o grupo de usuários que você quer excluir.

  4. Escolha Excluir grupo.

  5. Na janela Delete user pool (Excluir grupo de usuários), digite delete e escolha Delete pool (Excluir grupo).

Para atualizar um grupo de usuários do Amazon Cognito para usar a funcionalidade de e-mail padrão

  1. Faça login no AWS Management Console e abra o console do Amazon Cognito em. https://console.aws.amazon.com/cognito

  2. Selecione Manage User Pools.

  3. Na página Your User Pools (Seus grupos de usuários), escolha o grupo de usuários que você quer atualizar.

  4. No menu de navegação à esquerda, escolha Message customizations (Personalizações de mensagens).

  5. Em Deseja enviar e-mails por meio da SES configuração da Amazon? , escolha Não - Usar o Cognito (padrão).

  6. Quando terminar de definir as opções da conta de e-mail, escolha Save changes (Salvar alterações).

Para excluir manualmente a função vinculada ao serviço usando IAM

Use o IAM console AWS CLI, o ou o AWS API para excluir AmazonCognitoIdp funções AmazonCognitoIdpEmailService vinculadas ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.

Regiões compatíveis com funções vinculadas a serviço do Amazon Cognito

O Amazon Cognito oferece suporte a funções vinculadas a serviços em todos os Regiões da AWS lugares em que o serviço está disponível. Para obter mais informações, consulte Regiões da AWS e endpoints.