翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Amazon Cognito の マネージドポリシー
<a name="security-iam-awsmanpol"></a>







ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

**AWS Amazon Cognito へのアクセスを許可する マネージド IAM ポリシー**
+ `AmazonCognitoPowerUser` – ID プールとユーザープールのあらゆる側面へのアクセスと管理のための許可。このポリシーの許可を確認するには、「[AmazonCognitoPowerUser](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonCognitoPowerUser)」を参照してください。
+ `AmazonCognitoReadOnly` - ID プールとユーザープールへの読み取り専用アクセスのための許可。このポリシーの許可を確認するには、「[AmazonCognitoReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonCognitoReadOnly)」を参照してください。
+ `AmazonCognitoDeveloperAuthenticatedIdentities` – 認証システムが Amazon Cognito と統合するのための許可。このポリシーの許可を確認するには、「[AmazonCognitoDeveloperAuthenticatedIdentities](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonCognitoDeveloperAuthenticatedIdentities)」を参照してください。

これらのポリシーは Amazon Cognito チームによって維持されるため、新しい API が追加されても、ユーザーは引き続き同じアクセスレベルを維持することができます。

**注記**  
新しいアイデンティティプールを作成すると、認証済みユーザーアクセスとゲストユーザーアクセス用の新しいロールを自動的に作成できます。新しい IAM ロールでアイデンティティプールを作成する管理者には、ロールを作成するための IAM アクセス許可も必要です。

認証されていないゲストアクセスを持つ ID プールは、認証されていないユーザーに[セッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)ポリシーとして追加の AWS 管理ポリシーを適用します。この AWS 管理ポリシーには、管理目的での使用はありません。代わりに、アイデンティティプールの[拡張認証フロー](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication-flow.html)でゲストユーザーに適用できるアクセス許可の範囲が制限されます。詳細については、「[IAM ロール](iam-roles.md)」を参照してください。

**AWS Amazon Cognito がゲストユーザーに付与する マネージド IAM ポリシー**
+ `AmazonCognitoUnAuthedIdentitiesSessionPolicy` - インラインセッションポリシーと組み合わせて、IAM 管理者がアイデンティティプールゲストユーザーに付与できるアクセス許可を制限します。Amazon Cognito は、このポリシーをゲストセッションに自動的に適用します。詳細については、「[ゲストの AWS マネージドセッションポリシー](iam-roles.md#access-policies-managed-policy)」を参照してください。













## Amazon Cognito による AWS マネージドポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>



このサービスがこれらの変更の追跡を開始してからの Amazon Cognito の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Amazon Cognito の「[ドキュメント履歴](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-document-history.html)」ページで RSS フィードにサブスクライブしてください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| AmazonCognitoPowerUser - 変更 | Amazon Cognito は、Amazon Cognito ユーザープールの管理パワーユーザーの AWS End User Messaging SMS API オペレーション [DescribeAccountAttributes](https://docs.aws.amazon.com/pinpoint/latest/apireference_smsvoicev2/API_DescribeAccountAttributes.html) の使用を許可する新しいアクションを追加しました。 | 2025 年 2 月 27 日 | 
| AmazonCognitoUnAuthedIdentitiesSessionPolicy - 変更 | Amazon Cognito は、ID プール内の認証されていない (ゲスト) ユーザー AWS Key Management Service に対して の使用を許可する新しいアクションを追加しました。 | 2024 年 10 月 30 日 | 
| AmazonCognitoUnAuthedIdentitiesSessionPolicy - 変更 | Amazon Cognito は、アイデンティティプール内の認証されていない (ゲスト) ユーザーに対して Amazon Location Service の使用を許可する新しいアクションを追加しました。 | 2024 年 8 月 9 日 | 
| AmazonCognitoUnAuthedIdentitiesSessionPolicy – 新しいポリシー | ID プール内のゲストユーザーの特権スコープダウンのための AWS マネージドポリシーを追加しました。 | 2023 年 7 月 14 日 | 
| AmazonCognitoPowerUser および AmazonCognitoReadOnly– 変更 | パワーユーザーが Amazon Cognito ユーザープールへの AWS WAF ウェブ ACLs の関連付けを表示および管理できるようにする新しいアクセス許可を追加しました。読み取り専用ユーザーが Amazon Cognito ユーザープールへの AWS WAF ウェブ ACLs の関連付けを表示できるようにする新しいアクセス許可を追加しました。 | 2022 年 7 月 19 日 | 
| AmazonCognitoPowerUser - 変更 | Amazon Cognito による Amazon Simple Email Service PutIdentityPolicy および ListConfigurationSets のオペレーションの呼び出しを可能にする新しい許可が追加されました。この変更により、Amazon Cognito ユーザープールは、 Amazon SES 送信認可ポリシーを更新し、ユーザープールの E メール送信設定で Amazon SES の設定を適用できるようになります。 | 2021 年 11 月 17 日 | 
| AmazonCognitoPowerUser - 変更 | Amazon Cognito による Amazon Simple Notification Service の `GetSMSSandboxAccountStatus` オペレーションの呼び出しを可能にする新しい許可が追加されました。<br />この変更により、Amazon Cognito ユーザープールは、ユーザープールを通じてすべてのエンドユーザーにメッセージを送信するために、Amazon Simple Notification Service のサンドボックスから乗り換える必要があるかどうかを判断できるようになります。 | 2021 年 6 月 1 日 | 
| Amazon Cognito が変更の追跡を開始 | Amazon Cognito は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 1 日 |