AWS Amazon Cognito 的 受管政策 - Amazon Cognito
政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Cognito 的 受管政策

若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立IAM客戶受管政策需要時間和專業知識,為您的團隊提供他們所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南 中的AWS 受管政策

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞現有的許可。

此外, AWS 支援跨多個 服務的任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務函數政策的清單和說明,請參閱 IAM 使用者指南 中的AWS 任務函數的受管政策

AWS 授予 Amazon Cognito 存取權的 受管IAM政策

  • AmazonCognitoPowerUser - 存取及管理身分集區和使用者集區所有層面的許可。若要檢視此政策的許可,請參閱 AmazonCognitoPowerUser

  • AmazonCognitoReadOnly – 身分集區和使用者集區唯讀存取的許可。若要檢視此政策的許可,請參閱 AmazonCognitoReadOnly

  • AmazonCognitoDeveloperAuthenticatedIdentities – 讓您的身分驗證系統與 Amazon Cognito 整合的許可。若要檢視此政策的許可,請參閱 AmazonCognitoDeveloperAuthenticatedIdentities

這些政策由 Amazon Cognito 團隊維護,因此即使APIs新增了新政策,您的使用者仍具有相同的存取層級。

注意

當您建立新的身分集區時,您可以自動建立新角色供通過驗證的使用者和訪客使用者存取時使用。使用新IAM角色建立身分集區的管理員也必須具有建立角色的IAM許可。

具有未驗證訪客存取權的身分集區會將額外的 AWS 受管政策作為工作階段政策套用至未驗證的使用者。此 AWS 受管政策沒有預期的管理用途。不過,它會限制您可在身分集區增強型驗證流程中套用至訪客使用者的許可範圍。如需詳細資訊,請參閱IAM 角色

AWS Amazon Cognito 授予訪客使用者的 受管IAM政策

  • AmazonCognitoUnAuthedIdentitiesSessionPolicy - 結合內嵌工作階段政策, 會限制IAM管理員可授予身分集區訪客使用者的權限。Amazon Cognito 會自動將此政策套用至訪客工作階段。如需詳細資訊,請參閱來賓的 AWS 受管工作階段政策

Amazon Cognito 對 AWS 受管政策的更新

檢視自此服務開始追蹤這些變更以來,Amazon Cognito 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon Cognito 文件歷史記錄頁面上的RSS摘要。

變更 描述 日期
AmazonCognitoUnAuthedIdentitiesSessionPolicy–變更 Amazon Cognito 新增了新的動作,以允許在身分集區中為未經驗證的 (訪客) 使用者使用 Amazon Location Service。 2024 年 8 月 9 日
AmazonCognitoUnAuthedIdentitiesSessionPolicy–新政策 新增了身分集區中訪客使用者權限範圍縮減的 AWS 受管政策。 2023 年 7 月 14 日
AmazonCognitoPowerUserAmazonCognitoReadOnly–變更 新增了允許進階使用者檢視和管理 AWS WAF Web ACLs與 Amazon Cognito 使用者集區的關聯性的新許可。

新增了允許唯讀使用者檢視 AWS WAF Web ACLs與 Amazon Cognito 使用者集區的關聯性的新許可。

 2022 年 7 月 19 日
AmazonCognitoPowerUser–變更 新增許可,允許 Amazon Cognito 呼叫 Amazon Simple Email Service PutIdentityPolicyListConfigurationSets 操作。

此變更可讓 Amazon Cognito 使用者集區在使用者集區中設定電子郵件傳送時更新 Amazon SES傳送授權政策並套用 Amazon SES組態集。

 2021 年 11 月 17 日
AmazonCognitoPowerUser–變更

新增許可,允許 Amazon Cognito 呼叫 Amazon Simple Notification Service 的 GetSMSSandboxAccountStatus 操作。

這項變更可讓 Amazon Cognito 使用者集區決定是否需淘汰 Amazon Simple Notification Service 沙盒,以便透過使用者集區傳送訊息給所有最終使用者。

 2021 年 6 月 1 日

Amazon Cognito 開始追蹤變更

Amazon Cognito 開始追蹤其 AWS 受管政策的變更。

 2021 年 3 月 1 日