编辑亚马逊验证权限亚马逊 Cognito 身份源 - Amazon Verified Permissions
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

编辑亚马逊验证权限亚马逊 Cognito 身份源

创建身份源后,您可以编辑身份源的某些参数。您无法更改身份源的类型,必须删除身份源并创建一个新的身份源才能从 Amazon Cognito 切换到 OIDC 或 OIDC 切换到 Amazon Cognito。如果您的策略存储架构与您的身份源属性相匹配,则请注意,您必须单独更新架构以反映您对身份源所做的更改。

Amazon Web Services Management Console
更新 Amazon Cognito 身份源

  1. 打开已验证权限控制台。选择您的保单商店。

  2. 在左侧的导航窗格中,选择身份来源

  3. 选择要编辑的身份来源的 ID。

  4. 选择编辑

  5. Cognito 用户池详细信息中,选择 Amazon Web Services 区域 并键入您的身份源的用户池 ID

  6. 委托人详细信息中,您可以更新身份源的委托人类型。连接的 Amazon Cognito 用户群体中的身份将映射到所选的主体类型。

  7. 如果要映射用户池cognito:groups声明,请在 “组配置” 中选择 “使用 Cognito 群组”。选择作为主体类型的父项的实体类型。

  8. 客户端应用程序验证中,选择是否验证客户端应用程序 IDs。

    • 要验证客户端应用程序 IDs,请选择 “仅接受具有匹配客户端应用程序的令牌” IDs。为每个要验证的客户端应用程序 ID 选择添加新客户端应用程序 ID。要删除已添加的客户端应用程序 ID,请选择该客户端应用程序 ID 旁边的删除

    • IDs如果您不想验证客户端应用程序,请选择不验证客户端应用程序 IDs。

  9. 选择保存更改

  10. 如果您更改了该身份来源的主体类型,则必须更新架构,以正确反映更新后的主体类型。

如要删除身份来源,您可以选择身份来源旁边的单选按钮,然后选择删除身份来源。在文本框中输入 delete,然后选择删除身份来源,确认删除该身份来源。

Amazon CLI
更新 Amazon Cognito 身份源

您可以使用UpdateIdentitySource操作更新身份源。以下示例更新了指定的身份来源,以使用不同的 Amazon Cognito 用户群体。

  1. 创建一个包含 Amazon Cognito 用户池的以下详细信息的config.txt文件,供命令中的--configurationupdate-identity-source参数使用。

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. 运行以下命令以更新 Amazon Cognito 身份源。

    $ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}
注意

如果要更改该身份来源的主体类型,必须更新架构,以正确反映更新后的主体类型。