AmazonAmazon Cognito 的 托管式策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon 账户中使用。有关 Amazon 托管式策略的更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 服务负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新特征时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管式策略。
向 Amazon Cognito 授予访问权限的 Amazon 托管 IAM 策略
-
AmazonCognitoPowerUser– 用于对身份池和用户池所有方面进行访问和管理的权限。要查看此策略的权限,请参阅 AmazonCognitoPowerUser。 -
AmazonCognitoReadOnly– 用于对身份池和用户池进行只读访问的权限。要查看此策略的权限,请参阅 AmazonCognitoReadOnly。 -
AmazonCognitoDeveloperAuthenticatedIdentities– 用于将身份验证系统与 Amazon Cognito 集成的权限。要查看此策略的权限,请参阅 AmazonCognitoDeveloperAuthenticatedIdentities。
这些策略由 Amazon Cognito 团队维护,因此,即使添加了新 API,用户也将继续拥有相同级别的访问权限。
注意
创建新的身份池时,您可以自动为经过身份验证的用户和访客用户访问权限创建新角色。使用新的 IAM 角色创建身份池的管理员还必须拥有 IAM 权限才能创建角色。
具有未经身份验证的访客访问权限的身份池会将额外的 Amazon 托管式策略作为会话策略应用于未经身份验证的用户。此 Amazon 托管式策略没有预期的管理用途。相反,它限制了您可以对身份池增强的身份验证流程中的访客用户应用的权限范围。有关更多信息,请参阅IAM 角色。
Amazon Cognito 向访客用户授予的 Amazon 托管式 IAM 策略
-
AmazonCognitoUnAuthedIdentitiesSessionPolicy- 结合内联会话策略,限制 IAM 管理员可以向身份池访客用户授予的权限。Amazon Cognito 会自动将此政策应用于访客会话。有关更多信息,请参阅访客的 Amazon 托管式会话策略。
Amazon Cognito 更新了 Amazon 托管式策略
查看有关自此服务开始跟踪这些更改起,Amazon Cognito 的 Amazon 托管式策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon Cognito 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
AmazonCognitoPowerUser - 更改 |
Amazon Cognito 添加了新的操作,以允许 Amazon Cognito 用户池的管理员级高级用户使用 Amazon End User Messaging SMS API 操作 DescribeAccountAttributes。 | 2025 年 2 月 27 日 |
AmazonCognitoUnAuthedIdentitiesSessionPolicy - 更改 |
Amazon Cognito 添加了新的操作,以允许身份池中未经身份验证的(访客)用户使用 Amazon Key Management Service。 | 2024 年 10 月 30 日 |
AmazonCognitoUnAuthedIdentitiesSessionPolicy - 更改 |
Amazon Cognito 添加了新的操作,允许身份池中未经身份验证的(访客)用户使用 Amazon Location Service。 | 2024 年 8 月 9 日 |
AmazonCognitoUnAuthedIdentitiesSessionPolicy - 新策略 |
添加了 Amazon 托管式策略,以缩减身份池中访客用户的权限范围。 | 2023 年 7 月 14 日 |
AmazonCognitoPowerUser 和 AmazonCognitoReadOnly - 更改 |
添加了新权限,以允许高级用户查看和管理 Amazon WAF Web ACL 与 Amazon Cognito 用户池的关联。 添加了新权限,以允许只读用户查看 Amazon WAF Web ACL 与 Amazon Cognito 用户池的关联。 |
2022 年 7 月 19 日 |
AmazonCognitoPowerUser - 更改 |
添加了一项新权限,允许 Amazon Cognito 调用 Amazon Simple Notification Service PutIdentityPolicy 和 ListConfigurationSets 操作。此更改允许 Amazon Cognito 用户池更新 Amazon SES 发送授权策略,并在您配置用户池中发送电子邮件时应用 Amazon SES 配置集。 |
2021 年 11 月 17 日 |
AmazonCognitoPowerUser - 更改 |
添加了一项新权限,允许 Amazon Cognito 调用 Amazon Simple Notification Service 的 此更改允许 Amazon Cognito 用户池决定您是否需要退出 Amazon Simple Notification Service 沙盒,以便通过用户池向所有终端用户发送消息。 |
2021 年 6 月 1 日 |
|
Amazon Cognito 开启跟踪更改 |
Amazon Cognito 为其 Amazon 托管式策略开启了跟踪更改。 |
2021 年 3 月 1 日 |