Como usar funções vinculadas a serviço para o Amazon Cognito - Amazon Cognito
Permissões de função vinculada a serviço para o Amazon CognitoComo criar uma função vinculada a serviço para o Amazon CognitoComo editar uma função vinculada a serviço para o Amazon CognitoComo excluir uma função vinculada a serviço para o Amazon CognitoRegiões compatíveis com funções vinculadas a serviço do Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar funções vinculadas a serviço para o Amazon Cognito

O Amazon Cognito usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM com uma política de confiança que permite que um assuma AWS service (Serviço da AWS) a função. As funções vinculadas ao serviço são predefinidas pelo Amazon Cognito e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do Amazon Cognito porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Cognito define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Amazon Cognito pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do Amazon Cognito, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Yes (Sim) na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de função vinculada a serviço para o Amazon Cognito

O Amazon Cognito usa funções vinculadas ao serviço:

  • AWSServiceRoleForAmazonCognitoIdpEmailService— Permite que o serviço de grupos de usuários do Amazon Cognito use suas identidades do Amazon SES para enviar e-mails.

  • AWSServiceRoleForAmazonCognitoIdp— Permite que grupos de usuários do Amazon Cognito publiquem eventos e configurem endpoints para seus projetos do Amazon Pinpoint.

AWSServiceRoleForAmazonCognitoIdpEmailService

A função vinculada ao serviço AWSServiceRoleForAmazonCognitoIdpEmailService confia nos seguintes serviços para aceitar a função:

  • email.cognito-idp.amazonaws.com

A política de permissões da função permite que o Amazon Cognito conclua as seguintes ações nos recursos especificados:

Ações permitidas para AWSServiceRoleForAmazonCognitoIdpEmailService:

  • Ação: ses:SendEmail e ses:SendRawEmail

  • Recurso: *

A política nega ao Amazon Cognito a capacidade de realizar as seguintes ações nos recursos especificados:

Ações negadas

  • Ação: ses:List*

  • Recurso: *

Com essas permissões, o Amazon Cognito pode usar seus endereços de e-mail verificados no Amazon SES apenas para enviar e-mails aos seus usuários. O Amazon Cognito envia e-mails aos seus usuários quando eles executam determinadas ações na aplicação cliente para um grupo de usuários, como cadastramento ou redefinição de uma senha.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

AWSServiceRoleForAmazonCognitoIdp

A função AWSServiceRoleForAmazonCognitoIdp vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • email.cognito-idp.amazonaws.com

A política de permissões da função permite que o Amazon Cognito conclua as seguintes ações nos recursos especificados:

Ações permitidas para AWSServiceRoleForAmazonCognitoIdp

  • Ação: cognito-idp:Describe

  • Recurso: *

Com essa permissão, o Amazon Cognito pode chamar Describe operações de API do Amazon Cognito para você.

nota

Quando você integrar o Amazon Cognito ao Amazon Pinpoint usando createUserPoolClient e updateUserPoolClient, as permissões de recursos serão adicionadas ao SLR como uma política em linha. A política em linha fornecerá permissões mobiletargeting:UpdateEndpoint e mobiletargeting:PutEvents. Com essas permissões, o Amazon Cognito publica eventos e configura endpoints para projetos do Pinpoint que você integra ao Cognito.

Como criar uma função vinculada a serviço para o Amazon Cognito

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você configura um grupo de usuários para usar sua configuração do Amazon SES para lidar com a entrega de e-mail na AWS Management Console, na ou na API do Amazon Cognito AWS CLI, o Amazon Cognito cria a função vinculada ao serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você configura um grupo de usuários para usar sua configuração do Amazon SES para lidar com a entrega de e-mails, o Amazon Cognito cria a função vinculada ao serviço para você novamente.

Antes que o Amazon Cognito possa criar essa função, as permissões do IAM que você usa para configurar o grupo de usuários devem incluir a ação iam:CreateServiceLinkedRole. Para obter mais informações sobre como atualizar permissões no IAM, consulte Alterar permissões para um usuário do IAM no Guia do usuário do IAM.

Como editar uma função vinculada a serviço para o Amazon Cognito

Você não pode editar as funções AmazonCognitoIdp ou funções AmazonCognitoIdpEmailService vinculadas ao serviço em. AWS Identity and Access Management Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Como excluir uma função vinculada a serviço para o Amazon Cognito

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Se você excluir a função, só reterá entidades que o Amazon Cognito monitora ou mantém ativamente. Antes de excluir AmazonCognitoIdp ou AmazonCognitoIdpEmailService vincular funções ao serviço, você deve fazer o seguinte para cada grupo de usuários que usa a função:

  • Exclua o grupo de usuários.

  • Atualize as configurações de e-mail no grupo de usuários para usar a funcionalidade de e-mail padrão. A configuração padrão não usa a função vinculada ao serviço.

Lembre-se de realizar a ação em cada um Região da AWS com um grupo de usuários que usa a função.

nota

Se o serviço do Amazon Cognito estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir um grupo de usuários do Amazon Cognito

  1. Faça login no AWS Management Console e abra o console do Amazon Cognito em. https://console.aws.amazon.com/cognito

  2. Selecione Manage User Pools.

  3. Na página Your User Pools (Seus grupos de usuários), escolha o grupo de usuários que você quer excluir.

  4. Escolha Excluir grupo.

  5. Na janela Delete user pool (Excluir grupo de usuários), digite delete e escolha Delete pool (Excluir grupo).

Para atualizar um grupo de usuários do Amazon Cognito para usar a funcionalidade de e-mail padrão

  1. Faça login no AWS Management Console e abra o console do Amazon Cognito em. https://console.aws.amazon.com/cognito

  2. Selecione Manage User Pools.

  3. Na página Your User Pools (Seus grupos de usuários), escolha o grupo de usuários que você quer atualizar.

  4. No menu de navegação à esquerda, escolha Message customizations (Personalizações de mensagens).

  5. Em Do you want to send emails through your Amazon SES Configuration? (Deseja enviar e-mails por meio da configuração do Amazon SES?), escolha No - Use Cognito (Default) (Não - Usar o Cognito (padrão)).

  6. Quando terminar de definir as opções da conta de e-mail, escolha Save changes (Salvar alterações).

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir funções AmazonCognitoIdp AmazonCognitoIdpEmailService vinculadas ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas a serviço do Amazon Cognito

O Amazon Cognito oferece suporte a funções vinculadas a serviços em todos os Regiões da AWS lugares em que o serviço está disponível. Para obter mais informações, consulte Regiões da AWS e endpoints.