

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Identification des ressources Amazon Cognito
<a name="tagging"></a>

Une *balise* est une étiquette de métadonnées que vous attribuez ou AWS assignez à une AWS ressource. Chaque balise se compose d’une *clé* et d’une *valeur*. Pour les balises que vous attribuez, vous définissez la clé et la valeur. Par exemple, vous pouvez définir la clé sur `stage` et la valeur pour une ressource sur `test`.

Les balises vous permettent d’effectuer les actions suivantes :
+ Identifiez et organisez vos AWS ressources. De nombreux AWS services prennent en charge le balisage, de sorte que vous pouvez attribuer le même tag aux ressources provenant de différents services. Cela vous aide à indiquer quelles ressources sont liées. Par exemple, vous pouvez affecter à un groupe d'utilisateurs Amazon Cognito la même étiquette que celle que vous affectez à une table Amazon DynamoDB.
+ Suivez vos AWS coûts. Vous pouvez activer ces balises sur le AWS Billing and Cost Management tableau de bord. AWS utilise des balises de répartition des coûts pour classer vos coûts et vous fournir un rapport mensuel de répartition des coûts. Pour de plus amples informations, veuillez consulter [Utilisation des identifications d’allocation des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.
+ Contrôler l’accès à vos ressources en fonction des balises qui leur sont affectées. Vous pouvez contrôler l'accès en spécifiant des clés et des valeurs d'identification dans les conditions d'une politique Gestion des identités et des accès AWS (IAM). Par exemple, vous ne pouvez autoriser un utilisateur à mettre à jour un groupe d'utilisateurs que si le groupe d'utilisateurs possède une balise `owner` dont la valeur est le nom de cet utilisateur. Pour de plus amples informations, veuillez consulter [Contrôle de l'accès à l'aide d'identifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *Guide de l'utilisateur IAM*.

Vous pouvez utiliser l'API Amazon Cognito AWS Command Line Interface ou l'API Amazon Cognito pour ajouter, modifier ou supprimer des balises pour les groupes d'utilisateurs et d'identités. Vous pouvez également gérer les identifications pour les groupes d'utilisateurs en utilisant la console Amazon Cognito.

Pour accéder à des conseils sur l'utilisation des identifications, consultez l'article [politiques d'identification AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) sur le blog *AWS Answers*. 

Les sections suivantes fournissent des informations supplémentaires sur les étiquettes pour Amazon Cognito.

## Ressources prises en charge dans Amazon Cognito
<a name="tagging-supported-resources"></a>

Les ressources suivantes dans Amazon Cognito prennent en charge l'étiquetage : 
+ Groupes d’utilisateurs
+ Réserves d’identités

## Restrictions liées aux étiquettes
<a name="tagging-restrictions"></a>

Les restrictions de base suivantes s'appliquent aux identifications sur les ressources Amazon Cognito :
+ Nombre maximum d'étiquettes que vous pouvez attribuer à une ressource – 50 
+ Longueur de clé maximale : 128 caractères Unicode 
+ Longueur de valeur maximale : 256 caractères Unicode 
+ Caractères valides pour les clés et les valeurs : a-z A-Z, 0-9, espace et les caractères suivants : \_. :/= \+ - @
+ Les clés et les valeurs distinguent les majuscules et minuscules
+ N’utilisez pas `aws:` comme préfixe pour les clés ; seul AWS peut utiliser cette valeur.

## Gestion des identifications à l'aide de la console Amazon Cognito
<a name="tagging-console"></a>

Vous pouvez utiliser la console Amazon Cognito pour gérer les étiquettes affectées à vos groupes d'utilisateurs.

**Pour ajouter des balises à un groupe d'utilisateurs**

1. Accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si vous y êtes invité, entrez vos AWS informations d'identification.

1. Choisissez **Groupes d’utilisateurs**.

1. Choisissez un groupe d’utilisateurs existant dans la liste ou [créez-en un](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Choisissez le menu **Paramètres** et localisez l'onglet **Tags**.

1. Choisissez **Ajouter des identifications** pour ajouter votre première identification. Si vous avez déjà attribué des identifications à ce groupe d'utilisateurs, dans **Gérer les identifications**, choisissez **Ajouter une autre**.

1. Spécifiez les valeurs de **Clé d'identification** et **Valeur d'identification**.

1. Pour chaque identification supplémentaire à ajouter, choisissez **Ajouter une autre identification**.

1. Une fois que vous avez ajouté des identifications, choisissez **Enregistrer les modifications**.

Pour étiqueter un pool d'identités, accédez au menu **Groupes d'identités** et sélectionnez ou créez un pool d'identités. Dans l'onglet **Propriétés du pool d'identités**, recherchez **Tags**. Choisissez **Ajouter une balise**.

## AWS CLI exemples
<a name="tagging-cli-examples"></a>

 AWS CLI Il fournit des commandes qui vous aident à gérer les balises que vous attribuez à vos groupes d'utilisateurs et groupes d'identités Amazon Cognito. 

### Affectation de balises
<a name="tagging-cli-examples-assigning"></a>

Utilisez les commandes suivantes pour affecter des balises à vos groupes d'utilisateurs et groupes d'identités existants.

**Example Commande `tag-resource` pour les groupes d'utilisateurs**  
Pour affecter des identifications à un groupe d'utilisateurs, utilisez [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/tag-resource.html) dans l'ensemble de commandes `cognito-idp` :  

```
$ aws cognito-idp tag-resource \
> --resource-arn {{user-pool-arn}} \
> --tags {{Stage=Test}}
```
Cette commande comprend les paramètres suivants :  
+ `resource-arn` – Amazon Resource Name (ARN) du groupe d'utilisateurs auquel vous appliquez les étiquettes. Pour rechercher l'ARN, choisissez le groupe d'utilisateurs dans la console Amazon Cognito, puis examinez la valeur **ARN du groupe** sous l'onglet **Paramètres généraux**.
+ `tags` – Paires clé-valeur des identifications au format `{{key}}={{value}}`.
Pour affecter plusieurs balises à la fois, spécifiez-les dans une liste séparée par des virgules :  

```
$ aws cognito-idp tag-resource \
> --resource-arn {{user-pool-arn}} \
> --tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```

**Example Commande `tag-resource` pour les pools d'identités**  
Pour affecter des balises à un groupe d'identités, utilisez [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/tag-resource.html) dans l'ensemble de commandes `cognito-identity` :  

```
$ aws cognito-identity tag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tags {{Stage=Test}}
```
Cette commande comprend les paramètres suivants :  
+ `resource-arn` – Amazon Resource Name (ARN) du groupe d'identités auquel vous appliquez les étiquettes. Pour rechercher l'ARN, choisissez le groupe d'identités dans la console Amazon Cognito, puis **Modifier le groupe d'identités**. Ensuite, dans **ID du groupe d'identités**, choisissez **Afficher l'ARN**.
+ `tags` – Paires clé-valeur des identifications au format `{{key}}={{value}}`.
Pour affecter plusieurs balises à la fois, spécifiez-les dans une liste séparée par des virgules :  

```
$ aws cognito-identity tag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```

### Affichage des balises
<a name="tagging-cli-examples-viewing"></a>

Utilisez les commandes suivantes pour afficher les balises que vous avez attribuées à vos groupes d'utilisateurs et groupes d'identités.

**Example `Commande list-tags-for-resource` pour les groupes d'utilisateurs**  
Pour affichez les balises qui sont affectées à un groupe d'utilisateurs, utilisez [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-tags-for-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-tags-for-resource.html) dans l'ensemble de commandes `cognito-idp` :  

```
$ aws cognito-idp list-tags-for-resource --resource-arn {{user-pool-arn}}
```

**Example `Commande list-tags-for-resource` pour les pools d'identités**  
Pour afficher les balises qui sont affectées à un groupe d'identités, utilisez [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/list-tags-for-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/list-tags-for-resource.html) dans l'ensemble de commandes `cognito-identity` :  

```
$ aws cognito-identity list-tags-for-resource --resource-arn {{identity-pool-arn}}
```

### Suppression de balises
<a name="tagging-cli-examples-removing"></a>

Utilisez les commandes suivantes pour supprimer des balises de vos groupes d'utilisateurs et groupes d'identités.

**Example Commande `untag-resource pour` les groupes d'utilisateurs**  
Pour supprimer des identifications d'un groupe d'utilisateurs, utilisez [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/untag-resource.html) dans le jeu de commandes `cognito-idp` :  

```
$ aws cognito-idp untag-resource \
> --resource-arn {{user-pool-arn}} \
> --tag-keys {{Stage CostCenter Owner}}
```
Pour `--tag-keys`, indiquez une ou plusieurs clés d'identification. N'incluez pas les valeurs d'identification. Clés séparées par des espaces.

**Example Commande `untag-resource pour` les pools d'identités**  
Pour supprimer des balises d'un groupe d'identités, utilisez [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/untag-resource.html) dans l'ensemble de commandes `cognito-identity` :  

```
$ aws cognito-identity untag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tag-keys {{Stage CostCenter Owner}}
```
Pour `--tag-keys`, indiquez une ou plusieurs clés d'identification. N'incluez pas les valeurs d'identification.

**Important**  
Après avoir supprimé un groupe d'utilisateurs ou d'identités, les identifications associées au groupe supprimé peuvent toujours apparaître dans la console ou les appels d'API jusqu'à 30 jours après la suppression.

### Application de balises au moment de créer des ressources
<a name="tagging-cli-examples-applying"></a>

Utilisez les commandes suivantes pour affecter des balises au moment de créer un groupe d'utilisateurs ou un groupe d'identités.

**Example `Commande create-user-pool avec balises`**  
Lorsque vous créez un groupe d'utilisateurs à l'aide de la commande [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html), vous pouvez spécifier des balises avec le paramètre `--user-pool-tags` :  

```
$ aws cognito-idp create-user-pool \
> --pool-name {{user-pool-name}} \
> --user-pool-tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
Key-value les paires de balises doivent être au format`{{key}}={{value}}`. Si vous ajoutez plusieurs identifications, spécifiez-les dans une liste d'éléments séparés par une virgule

**Example `Commande create-identity-pool` avec balises**  
Lorsque vous créez un groupe d'identités à l'aide de la commande [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/create-identity-pool.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/create-identity-pool.html), vous pouvez indiquer des balises avec le paramètre `--identity-pool-tags` :  

```
$ aws cognito-identity create-identity-pool \
> --identity-pool-name {{identity-pool-name}} \
> --allow-unauthenticated-identities \
> --identity-pool-tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
Key-value les paires de balises doivent être au format`{{key}}={{value}}`. Si vous ajoutez plusieurs identifications, spécifiez-les dans une liste d'éléments séparés par une virgule.

## Gestion des identifications à l'aide de l'API Amazon Cognito
<a name="tagging-api"></a>

Vous pouvez utiliser les actions suivantes dans l'API Amazon Cognito pour gérer les étiquettes de vos groupes d'utilisateurs et d'identités.

### Actions d'API pour les identifications de groupe d'utilisateurs
<a name="tagging-api-user-pools"></a>

Utilisez les actions d'API suivantes pour affecter, afficher et supprimer des balises pour les groupes d'utilisateurs.
+ [TagResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_TagResource.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListTagsForResource.html)
+ [UntagResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UntagResource.html)
+ [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)

### Actions d'API pour les identifications de groupe d'identités
<a name="tagging-api-identity-pools"></a>

Utilisez les actions d'API suivantes pour affecter, afficher et supprimer des balises pour les groupes d'identités.
+ [TagResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_TagResource.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_ListTagsForResource.html)
+ [UntagResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UntagResource.html)
+ [CreateIdentityPool](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_CreateIdentityPool.html)

## CloudFormation autorisations de balisage
<a name="tagging-cloudformation"></a>

Lorsque vous créez ou mettez à jour le groupe d'utilisateurs ou les ressources du pool d'identités Amazon Cognito avec AWS CloudFormation, vous CloudFormation pouvez propager des balises au niveau de la pile et des balises au niveau du système vers vos ressources. Pour permettre cette propagation de balises, le principal IAM qui déploie la pile doit disposer d'autorisations de balisage en plus des autorisations de création de ressources.

Par exemple, pour créer un groupe d'utilisateurs avec`cognito-idp:CreateUserPool`, l'appelant doit également disposer des autorisations suivantes :
+ `cognito-idp:TagResource`
+ `cognito-idp:UntagResource`
+ `cognito-idp:ListTagsForResource`

De même, pour créer un pool d'identités avec`cognito-identity:CreateIdentityPool`, l'appelant doit également disposer des autorisations suivantes :
+ `cognito-identity:TagResource`
+ `cognito-identity:UntagResource`
+ `cognito-identity:ListTagsForResource`

Sans ces autorisations, la création ou la mise à jour d'une pile peut échouer en cas de CloudFormation tentative d'application de balises à la ressource. Si vous voyez une erreur de refus d'accès liée au balisage lors d'une opération de stack, vérifiez que votre politique IAM inclut ces autorisations.