Amazon Cognito 的 Amazon 托管式策略 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Cognito 的 Amazon 托管式策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon 账户中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的 Amazon 托管策略

Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

您可以使用 IAM 控制台提供的大量策略授予对 Amazon Cognito 的访问权限:

  • AmazonCognitoPowerUser– 用于对身份池和用户池所有方面进行访问和管理的权限。要查看此策略的权限,请参阅 AmazonCognitoPowerUser

  • AmazonCognitoReadOnly – 用于对身份池和用户池进行只读访问的权限。要查看此策略的权限,请参阅 AmazonCognitoReadOnly

  • AmazonCognitoDeveloperAuthenticatedIdentities – 用于将身份验证系统与 Amazon Cognito 集成的权限。要查看此策略的权限,请参阅 AmazonCognitoDeveloperAuthenticatedIdentities

这些策略由 Amazon Cognito 团队维护,因此,即使添加了新 API,用户也将继续拥有相同级别的访问权限。

注意

创建新的身份池时,您可以自动为经过身份验证的用户和访客用户访问权限创建新角色。使用新的 IAM 角色创建身份池的管理员还必须拥有 IAM 权限才能创建角色。

具有未经身份验证的访客访问权限的身份池会将额外的 Amazon 托管式策略(即 AmazonCognitoUnAuthedIdentitiesSessionPolicy)作为会话策略应用于未经身份验证的用户。此 Amazon 托管式策略没有预期的管理用途。相反,它限制了您可以对身份池增强的身份验证流程中的访客用户应用的权限范围。有关更多信息,请参阅IAM 角色

Amazon Cognito 更新了 Amazon 托管式策略

查看有关自此服务开始跟踪这些更改起,Amazon Cognito 的 Amazon 托管式策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon Cognito 文档历史记录页面上的 RSS 源。

更改 说明 日期
AmazonCognitoUnAuthedIdentitiesSessionPolicy – 新策略 添加了 Amazon 托管式策略,以缩减身份池中访客用户的权限范围。 2023 年 7 月 14 日
AmazonCognitoPowerUserAmazonCognitoReadOnly – 现有策略更新 添加了新权限,以允许高级用户查看和管理 Amazon WAF Web ACL 与 Amazon Cognito 用户池的关联。

添加了新权限,以允许只读用户查看 Amazon WAF Web ACL 与 Amazon Cognito 用户池的关联。

2022 年 7 月 19 日
AmazonCognitoPowerUser – 对现有策略的更新 添加了一项新权限,允许 Amazon Cognito 调用 Amazon Simple Notification Service PutIdentityPolicyListConfigurationSets 操作。

此更改允许 Amazon Cognito 用户池更新 Amazon SES 发送授权策略,并在您配置用户池中发送电子邮件时应用 Amazon SES 配置集。

2021 年 11 月 17 日
AmazonCognitoPowerUser – 对现有策略的更新

添加了一项新权限,允许 Amazon Cognito 调用 Amazon Simple Notification Service 的 GetSMSSandboxAccountStatus 操作。

此更改允许 Amazon Cognito 用户池决定您是否需要退出 Amazon Simple Notification Service 沙盒,以便通过用户池向所有终端用户发送消息。

2021 年 6 月 1 日

Amazon Cognito 开启跟踪更改

Amazon Cognito 为其 Amazon 托管式策略开启了跟踪更改。

2021 年 3 月 1 日