对 Amazon Cognito 使用服务相关角色
Amazon Cognito 使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Cognito 直接相关。服务相关角色由 Amazon Cognito 预定义,并包含服务代表您调用其他Amazon服务所需的所有权限。
服务相关角色可让您更轻松地设置 Amazon Cognito,因为您不必手动添加必要的权限。Amazon Cognito 定义其服务相关角色的权限,除非另外定义,否则只有 Amazon Cognito 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其它 IAM 实体的权限策略。
只有在首先删除相关资源后,才能删除服务相关角色。这将保护您的 Amazon Cognito 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。
Amazon Cognito 的服务相关角色权限
Amazon Cognito 使用下列服务相关角色:
-
AWSServiceRoleForAmazonCognitoIdpEmailService — 允许 Amazon Cognito 用户池服务使用您的 Amazon SES 身份来发送电子邮件。
-
AWSServiceRoleForAmazonCognitoIdp — 允许 Amazon Cognito 用户池为您的 Amazon Pinpoint 项目发布事件和配置端点。
AWSServiceRoleForAmazonCognitoIdpEmailService
AWSServiceRoleForAmazonCognitoIdpEmailService 服务相关角色信任以下服务代入该角色:
-
email.cognito-idp.amazonaws.com
角色权限策略允许 Amazon Cognito 对指定资源完成以下操作:
AWSServiceRoleForAmazonCognitoIdpEmailService 允许的操作:
-
操作:
ses:SendEmail和ses:SendRawEmail -
资源:
*
此策略拒绝 Amazon Cognito 对指定资源完成以下操作的功能:
拒绝的操作
-
操作:
ses:List* -
资源:
*
凭借这些权限,Amazon Cognito 只能使用 Amazon SES 中经过验证的电子邮件地址向用户发送电子邮件。当您的用户在客户端应用程序中针对用户池执行特定操作(如注册或重置密码)时,Amazon Cognito 将向用户发送电子邮件。
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
AWSServiceRoleForAmazonCognitoIdp
AWSServiceRoleForAmazonCognitoIdp 服务相关角色信任以下服务代入角色:
-
email.cognito-idp.amazonaws.com
角色权限策略允许 Amazon Cognito 对指定资源完成以下操作:
AWSServiceRoleForAmazonCognitoIdp 允许的操作:
-
操作:
cognito-idp:Describe -
资源:
*
有了此权限,Amazon Cognito 可以为您调用 Describe Amazon Cognito API 操作。
当您将 Amazon Cognito 与采用 createUserPoolClient 和 updateUserPoolClient 的 Amazon Pinpoint 集成时,资源权限将作为内联策略添加到 SLR 中。内联策略将提供 mobiletargeting:UpdateEndpoint 和 mobiletargeting:PutEvents 权限。这些权限允许 Amazon Cognito 发布事件并为与 Cognito 集成的 Pinpoint 项目配置端点。
创建适用于 Amazon Cognito 的服务相关角色
无需手动创建服务相关角色。当您在Amazon Web Services Management Console、Amazon CLI 或 Amazon Cognito API 中将用户池配置为使用 Amazon SES 配置处理邮件送达时,Amazon Cognito 会为您创建与服务相关的角色。
如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当您将用户池配置为使用 Amazon SES 配置去处理邮件送达时,Amazon Cognito 会为您创建与服务相关的角色。
在 Amazon Cognito 可以创建此角色之前,您用来设置用户池的 IAM 权限必须包含 iam:CreateServiceLinkedRole 操作。有关更新 IAM 中权限的更多信息,请参阅《IAM 用户指南》中的更改 IAM 用户的权限。
编辑适用于 Amazon Cognito 的服务相关角色
您无法在 Amazon Identity and Access Management 中编辑 Amazon CognitoIDP 或 AmazonCognitoIDPEmailService 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色。
删除适用于 Amazon Cognito 的服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。如果您删除角色,则只应保留 Amazon Cognito 主动监控或维护的实体。在删除 AmazonCognitoIdp 或 AmazonCognitoIdpEmailService 服务相关角色之前,您必须对使用该角色的每个用户池执行以下任一操作:
-
删除该用户池。
-
更新用户池中的电子邮件设置以使用默认的电子邮件功能。默认设置不使用服务相关角色。
请记住在具有使用该角色的用户池的每个 Amazon Web Services 区域 中执行该操作。
如果在您尝试删除资源时,Amazon Cognito 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 Amazon Cognito 用户池
-
登录Amazon Web Services Management Console并打开 Amazon Cognito 控制台(https://console.amazonaws.cn/cognito
)。 -
选择 Manage User Pools(管理用户池)。
-
在 Your User Pools (您的用户池) 页面上,选择要删除的用户池。
-
选择 Delete pool(删除池)。
-
在 Delete user pool (删除用户池) 窗口中,键入
delete,然后选择 Delete pool (删除池)。
更新 Amazon Cognito 用户池以使用默认电子邮件功能
-
登录Amazon Web Services Management Console并打开 Amazon Cognito 控制台(https://console.amazonaws.cn/cognito
)。 -
选择 Manage User Pools(管理用户池)。
-
在 Your User Pools (您的用户池) 页面上,选择要更新的用户池。
-
在左侧导航菜单中,选择 Message customizations(管理自定义)。
-
在 Do you want to send emails through your Amazon SES Configuration? (是否要通过 Amazon SES 配置发送电子邮件?) 下,选择 No - Use Cognito (Default) (否 -使用 Cognito (默认))。
-
当您完成设置您的电子邮件账户选项时,选择 Save changes(保存更改)。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台、Amazon CLI 或 Amazon API 来删除 AmazonCognitoIdp 或 AmazonCognitoIdpEmailService 服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色。
Amazon Cognito 服务相关角色支持的区域
Amazon Cognito 支持在已推出该服务的所有 Amazon Web Services 区域中使用服务相关角色。有关更多信息,请参阅Amazon Web Services 区域 和端点。