Ações, recursos e chaves de condição dos grupos de usuários do Amazon Cognito - Referência de autorização do serviço

Ações, recursos e chaves de condição dos grupos de usuários do Amazon Cognito

Os Grupos de usuários do Amazon Cognito (prefixo do serviço: cognito-idp) fornecem os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelos grupos de usuários do Amazon Cognito

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AddCustomAttributes Concede permissão para adicionar atributos de usuário ao esquema do grupo de usuários Write

userpool*

AdminAddUserToGroup Concede permissão para adicionar qualquer usuário a qualquer grupo Write

userpool*

AdminConfirmSignUp Concede permissão para confirmar o registro de qualquer usuário sem um código de confirmação Write

userpool*

AdminCreateUser Concede permissão para criar novos usuários e enviar mensagens de boas-vindas por e-mail ou SMS Write

userpool*

AdminDeleteUser Concede permissão para excluir qualquer usuário Write

userpool*

AdminDeleteUserAttributes Concede permissão para excluir atributos de qualquer usuário Write

userpool*

AdminDisableProviderForUser Concede permissão para desvincular qualquer usuário do grupo de usuários de um usuário de provedor de identidades (IdP) terceirizado Write

userpool*

AdminDisableUser Concede permissão para desativar qualquer usuário Write

userpool*

AdminEnableUser Concede permissão para ativar qualquer usuário Write

userpool*

AdminForgetDevice Concede permissão para cancelar o registro de dispositivos de qualquer usuário Write

userpool*

AdminGetDevice Concede permissão para obter informações sobre os dispositivos de qualquer usuário Read

userpool*

AdminGetUser Concede permissão para pesquisar qualquer usuário por nome de usuário Read

userpool*

AdminInitiateAuth Concede permissão para autenticar qualquer usuário Write

userpool*

AdminLinkProviderForUser Concede permissão para vincular qualquer usuário do grupo de usuários de um usuário provedor de identidades (IdP) terceirizado Write

userpool*

AdminListDevices Concede permissão para listar os dispositivos lembrados de qualquer usuário List

userpool*

AdminListGroupsForUser Concede permissão para listar os grupos aos quais qualquer usuário pertence List

userpool*

AdminListUserAuthEvents Concede permissão para listar eventos de login para qualquer usuário Read

userpool*

AdminRemoveUserFromGroup Concede permissão para remover qualquer usuário de qualquer grupo Write

userpool*

AdminResetUserPassword Concede permissão para redefinir a senha de qualquer usuário Write

userpool*

AdminRespondToAuthChallenge Concede permissão para responder a um desafio de autenticação durante a autenticação de qualquer usuário Write

userpool*

AdminSetUserMFAPreference Concede permissão para definir o método de MFA preferido de qualquer usuário Write

userpool*

AdminSetUserPassword Concede permissão para definir a senha de qualquer usuário Write

userpool*

AdminSetUserSettings Concede permissão para definir configurações de usuário para qualquer usuário Write

userpool*

AdminUpdateAuthEventFeedback Concede permissão para atualizar o feedback de segurança avançada para evento de autenticação de qualquer usuário Write

userpool*

AdminUpdateDeviceStatus Concede permissão para atualizar o status dos dispositivos lembrados de qualquer usuário Write

userpool*

AdminUpdateUserAttributes Concede permissão para atualizar os atributos padrão ou personalizados de qualquer usuário Write

userpool*

AdminUserGlobalSignOut Concede permissão para desconectar qualquer usuário de todas as sessões Write

userpool*

AssociateSoftwareToken Retorna um código de chave secreta compartilhada gerado de forma exclusiva para a conta do usuário Write
AssociateWebACL [somente permissão] Concede permissão para associar o grupo de usuários a uma ACL da Web do AWS WAF Write

userpool*

webacl*

ChangePassword Altera a senha do usuário especificado em um grupo de usuários Write
ConfirmDevice Confirma o rastreamento do dispositivo. Essa chamada de API é a chamada que inicia o rastreamento do dispositivo Write
ConfirmForgotPassword Permite que o usuário insira um código de confirmação para redefinir uma senha esquecida Write
ConfirmSignUp Confirma o registro de um usuário e manipula o alias existente de um usuário anterior Write
CreateGroup Concede permissão para criar novos grupos de usuários Write

userpool*

CreateIdentityProvider Concede permissão para adicionar provedores de identidades aos grupos de usuários Write

userpool*

CreateResourceServer Concede permissão para criar e configurar escopos para servidores de recursos do OAuth 2.0 Write

userpool*

CreateUserImportJob Concede permissão para criar trabalhos de importação de CSV do usuário Write

userpool*

CreateUserPool Concede permissão para criar e definir política de senha para grupos de usuários Write

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

CreateUserPoolClient Concede permissão para criar clientes de aplicação de grupo de usuários Write

userpool*

CreateUserPoolDomain Concede permissão para adicionar domínios de grupo de usuário Write

userpool*

DeleteGroup Concede permissão para excluir qualquer grupo de usuários vazio Write

userpool*

DeleteIdentityProvider Concede permissão para excluir qualquer provedor de identidades de grupos de usuários Write

userpool*

DeleteResourceServer Concede permissão para excluir qualquer servidor de recursos do OAuth 2.0 de grupos de usuários Write

userpool*

DeleteUser Permite que um usuário exclua a si mesmo Write
DeleteUserAttributes Exclui os atributos de um usuário Write
DeleteUserPool Concede permissão para excluir grupos de usuários Write

userpool*

DeleteUserPoolClient Concede permissão para excluir qualquer cliente de aplicação de grupo de usuários Write

userpool*

DeleteUserPoolDomain Concede permissão para excluir qualquer domínio de grupo de usuários Write

userpool*

DescribeIdentityProvider Concede permissão para descrever qualquer provedor de identidades de grupo de usuários Read

userpool*

DescribeResourceServer Concede permissão para descrever qualquer servidor de recursos do OAuth 2.0 Read

userpool*

DescribeRiskConfiguration Concede permissão para descrever as definições de configuração de risco de grupos de usuários e clientes de aplicações Read

userpool*

DescribeUserImportJob Concede permissão para descrever qualquer trabalho de importação de usuário Read

userpool*

DescribeUserPool Concede permissão para descrever grupos de usuários Read

userpool*

DescribeUserPoolClient Concede permissão para descrever qualquer cliente de aplicação de grupo de usuários Read

userpool*

DescribeUserPoolDomain Concede permissão para descrever qualquer domínio de grupo de usuários Read
DisassociateWebACL [somente permissão] Concede permissão para desassociar o grupo de usuários com uma ACL da Web do AWS WAF Write

userpool*

ForgetDevice Esquece o dispositivo especificado Write
ForgotPassword Chamar essa API faz com que uma mensagem seja enviada ao usuário final com um código de confirmação que é necessário para alterar a senha do usuário Write
GetCSVHeader Concede permissão para gerar cabeçalhos para um arquivo .csv de importação de usuário Read

userpool*

GetDevice Obtém o dispositivo Read
GetGroup Concede permissão para descrever um grupo de usuários Read

userpool*

GetIdentityProviderByIdentifier Concede permissão para correlacionar um identificador de IdP de grupo de usuários ao nome do IdP Read

userpool*

GetSigningCertificate Concede permissão para pesquisar certificados de assinatura para grupos de usuários Read

userpool*

GetUICustomization Concede permissão para obter informações de personalização da interface de usuário para a interface de usuário hospedada de qualquer cliente de aplicação Read

userpool*

GetUser Obtém os atributos e os metadados de um usuário Read
GetUserAttributeVerificationCode Obtém o código de verificação do atributo do usuário do nome do atributo especificado Read
GetUserPoolMfaConfig Concede permissão para pesquisar a configuração de MFA de grupos de usuários Read

userpool*

GetWebACLForResource [somente permissão] Concede permissão para obter a ACL da Web do AWS WAF associada a um grupo de usuários do Amazon Cognito Read

userpool*

GlobalSignOut Desconecta os usuários de todos os dispositivos Write
InitiateAuth Inicia o fluxo de autenticação Write
ListDevices Lista os dispositivos List
ListGroups Concede permissão para listar todos os grupos em grupos de usuários List

userpool*

ListIdentityProviders Concede permissão para listar todos os provedores de identidades nos grupos de usuários List

userpool*

ListResourceServers Concede permissão para listar todos os servidores de recursos em grupos de usuários List

userpool*

ListResourcesForWebACL [somente permissão] Concede permissão para listar os grupos de usuários associados a uma ACL da Web do AWS WAF List

webacl*

ListTagsForResource Concede permissão para listar as tags atribuídas a um grupo de usuários do Amazon Cognito List

userpool

ListUserImportJobs Concede permissão para listar todos os trabalhos de importação de usuário List

userpool*

ListUserPoolClients Concede permissão para listar todos os clientes de aplicação em grupos de usuários List

userpool*

ListUserPools Concede permissão para listar todos os grupos de usuários List
ListUsers Concede permissão para listar todos os usuários de grupo de usuários List

userpool*

ListUsersInGroup Concede permissão para listar os usuários em qualquer grupo List

userpool*

ResendConfirmationCode Reenvia a confirmação (para confirmação do registro) a um usuário específico no grupo de usuários Write
RespondToAuthChallenge Responde ao desafio de autenticação Write
RevokeToken Revoga todos os tokens de acesso gerados pelo token de atualização especificado Write
SetRiskConfiguration Concede permissão para definir a configuração de risco para grupos de usuários e clientes de aplicações Write

userpool*

SetUICustomization Concede permissão para personalizar a interface do usuário hospedada para qualquer cliente de aplicação Write

userpool*

SetUserMFAPreference Define a preferência de MFA para o usuário no userpool Write
SetUserPoolMfaConfig Concede permissão para definir a configuração de MFA de um grupo de usuários Write

userpool*

SetUserSettings Define as configurações do usuário, como a autenticação multifator (MFA) Write
SignUp Registra o usuário no grupo de usuários especificado e cria um nome de usuário, uma senha e atributos de usuário Write
StartUserImportJob Concede permissão para iniciar qualquer trabalho de importação de usuário Write

userpool*

StopUserImportJob Concede permissão para interromper qualquer trabalho de importação de usuário Write

userpool*

TagResource Concede permissão para marcar um grupo de usuários Marcação

userpool

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permissão para desmarcar um grupo de usuários Marcação

userpool

aws:TagKeys

UpdateAuthEventFeedback Atualiza os comentários do evento de autenticação de usuário Write

userpool*

UpdateDeviceStatus Atualiza o status do dispositivo Write
UpdateGroup Concede permissão para atualizar a configuração de qualquer grupo Write

userpool*

UpdateIdentityProvider Concede permissão para atualizar a configuração de IdP de qualquer grupo de usuários Write

userpool*

UpdateResourceServer Concede permissão para atualizar a configuração de qualquer servidor doe recursos do OAuth 2.0 Write

userpool*

UpdateUserAttributes Permite que o usuário atualize um atributo específico (um por vez) Write
UpdateUserPool Concede permissão para atualizar a configuração de grupos de usuários Write

userpool*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateUserPoolClient Concede permissão para atualizar qualquer cliente de grupo de usuários Write

userpool*

UpdateUserPoolDomain Concede permissão para substituir o certificado para qualquer domínio personalizado Write

userpool*

VerifySoftwareToken Registra o código da TOTP inserido de um usuário e marca o status de MFA de token de software do usuário como verificado, se for bem-sucedido Write
VerifyUserAttribute Verifica um atributo de usuário usando um código de verificação avulso Write

Tipos de recursos definidos pelos grupos de usuários do Amazon Cognito

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
userpool arn:${Partition}:cognito-idp:${Region}:${Account}:userpool/${UserPoolId}

aws:ResourceTag/${TagKey}

webacl arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/webacl/${Name}/${Id}

Chaves de condição dos grupos de usuários do Amazon Cognito

Os Grupos de usuários do Amazon Cognito definem as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra o acesso por uma chave presente na solicitação ArrayOfString