向用户池添加组 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

向用户池添加组

借助对 Amazon Cognito 用户池中组的支持,您可以创建和管理组、将用户添加到组以及从组中删除用户。使用组可创建用户集合以管理其权限或表示不同类型的用户。您可以向组分配一个 Amazon Identity and Access Management(IAM)角色以定义组成员的权限。

您可以使用组以在用户池中创建用户集合,这通常用于为这些用户设置权限。例如,您可以为作为您网站和应用程序的读者、贡献者或编辑者的用户创建单独的组。通过使用与组关联的 IAM 角色,您还可以为那些不同的组设置不同的权限,从而只有贡献者可以将内容放置在 Amazon S3 中,并且只有编辑者可以通过 Amazon API Gateway 中的 API 发布内容。

您可以通过 Amazon Web Services Management Console、API 和 CLI 创建并管理用户池中的组。作为开发人员 (使用 Amazon 凭证),您可以创建、读取、更新、删除并列出用户池的组。您还可以将用户添加到组和从组中删除用户。

在用户池中使用组不会产生额外费用。有关更多信息,请参阅 Amazon Cognito 定价

您可以看到 SpaceFinder 参考应用程序中使用的此功能。

向组分配 IAM 角色

您可以使用组通过 IAM 角色控制资源的权限。IAM 角色包含信任策略和权限策略。角色的信任策略指定谁可使用该角色。权限策略指定组成员可以访问的操作和资源。在您创建 IAM 角色时,请设置角色的信任策略以允许您的组用户担任该角色。请在角色的权限策略中,指定您希望组具有的权限。

在 Amazon Cognito 中创建组时,可以通过提供角色的 ARN 指定 IAM 角色。当组成员使用 Amazon Cognito 登录时,他们可以从身份池接收临时凭证。他们的权限由关联的 IAM 角色确定。

单个用户可处于多个组中。作为开发人员,当一个用户位于多个组中时,您可以使用以下选项自动选择 IAM 角色:

  • 您可以为每个组分配优先级值。将选择优先级较高(值较低)的组,并应用其关联的 IAM 角色。

  • 通过身份池请求用户的 Amazon 凭证时,您的应用程序还可以从可用角色中进行选择,只需在 GetCredentialsForIdentity CustomRoleARN 参数中指定角色 ARN。指定的 IAM 角色必须与适用于用户的角色相匹配。

将优先级值分配到组

一个用户可属于多个组。在用户的 ID 令牌中,cognito:groups 陈述包含用户所属的所有组的列表。cognito:roles 断言包含与这些组对应的角色列表。

由于一个用户可以属于多个组,因此可为每个组分配一个优先级。这是一个非负数值,用于指定该组相对于用户池中用户所属其它组的优先级。零是代表最高优先级的值。具有较低优先级值的组优先于具有较高或空优先级值的组。如果一个用户属于两个或更多组,则具有最低优先级值的组的 IAM 角色将应用于用户 ID 令牌中的 cognito:preferred_role 声明。

两个组可以具有相同的优先级值。如果发生这种情况,则两个组之间不存在优先情况。如果具有相同优先级值的两个组还具有相同的角色 ARN,则该角色将用于每个组中用户的 ID 令牌的 cognito:preferred_role 陈述。如果两个组具有不同的角色 ARN,则不会在用户的 ID 令牌中设置 cognito:preferred_role 断言。

使用组控制使用 Amazon API Gateway 的权限

您可以使用用户池中的组控制使用 Amazon API Gateway 的权限。用户所属的组包含在 cognito:groups 声明中的用户池的 ID 令牌和访问令牌中。您可以通过请求向 Amazon API Gateway 提交 ID 或访问令牌,并使用 Amazon Cognito 用户池授权方获取 REST API。有关更多信息,请参阅《API Gateway 开发人员指南》中的使用 Amazon Cognito 用户池作为授权方控制对 REST API 的访问

您还可以使用自定义 JWT 授权方授权访问 Amazon API Gateway HTTP API。有关更多信息,请参阅《API Gateway 开发人员指南》中的使用 JWT 授权方控制对 HTTP API 的访问

组的限制

用户组受以下限制的约束:

  • 您可以创建的组的数量受 Amazon Cognito 服务限制的限制。

  • 不能对组进行嵌套。

  • 不能搜索组中的用户。

  • 不能按名称搜索组,但可以列出组。

  • 只能删除没有成员的组。

在 Amazon Web Services Management Console 中创建新组

使用以下过程创建新组。

Original console

Users and groups 选项卡中的 Groups 选项卡具有一个 Create group 按钮。


              在“Users and Groups”选项卡中的“Groups”选项卡中创建新组。

在选择 Create group (创建组) 时,将显示一个 Create group (创建组) 表单。您将在此表格中输入组的信息。仅 Name(名称) 字段为必填字段。如果您要将用户池与身份池集成,并且身份池配置为从令牌中选择角色,则 IAM role (IAM 角色) 设置将确定在用户的 ID 令牌中分配哪个角色。如果您尚未定义角色,请选择 Create new role (创建新角色)。如果您有多个组,并且可将您的用户分配到多个组,则可以为每个组设置 Precedence (优先级) 值。优先级值可以是任何非负整数。零是代表最高优先级的值。


              在“Users and groups”选项卡中创建组表单。
New console

创建新组。

  1. 转到 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证。

  2. 选择 User Pools(用户池)。

  3. 从列表中选择现有用户池。

  4. 选择 Groups(组)选项卡,然后选择 Create group(创建组)。

  5. Create a group(创建组)页面的 Group name(组名称)中,为您的新组输入一个易记名称。

  6. 您可以选择使用以下任意字段提供有关此组的其它信息:

    • Description(说明)– 输入有关这个新组将用于什么的详细信息。

    • Precedence(优先顺序)– Amazon Cognito 根据给定用户所属群组具有的较低优先级值,评估并应用所有群组权限。将选择优先级较低的组,并应用其关联的 IAM 角色。有关更多信息,请参阅 将优先级值分配到组

    • IAM role(IAM 角色)– 当您需要控制对资源的权限时,您可以为组分配 IAM 角色。如果您要将用户池与身份池集成,并且身份池配置为从令牌中选择角色,则 IAM role (IAM 角色) 设置将确定在用户的 ID 令牌中分配哪个角色。有关更多信息,请参阅 向组分配 IAM 角色

    • Add users to this group(将用户添加到此组)– 创建后将现有用户添加为该组的成员。

  7. 选择 Create(创建)以确认。