本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Cognito 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**AWS 授予 Amazon Cognito 存取權的 受管 IAM 政策**
+ `AmazonCognitoPowerUser` - 存取及管理身分集區和使用者集區所有層面的許可。若要檢視此政策的許可,請參閱 [AmazonCognitoPowerUser](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonCognitoPowerUser)。
+ `AmazonCognitoReadOnly` – 身分集區和使用者集區唯讀存取的許可。若要檢視此政策的許可,請參閱 [AmazonCognitoReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonCognitoReadOnly)。
+ `AmazonCognitoDeveloperAuthenticatedIdentities` – 讓您的身分驗證系統與 Amazon Cognito 整合的許可。若要檢視此政策的許可,請參閱 [AmazonCognitoDeveloperAuthenticatedIdentities](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonCognitoDeveloperAuthenticatedIdentities)。
這些政策是由 Amazon Cognito 團隊維護,所以即使有新的 API 加入,您的使用者還是繼續擁有相同層級的存取權。
**注意**
當您建立新的身分集區時,您可以自動建立新角色供通過驗證的使用者和訪客使用者存取時使用。使用新 IAM 角色建立身分集區的管理員也必須具有 IAM 許可才能建立角色。
具有未驗證訪客存取權的身分集區會將額外的 AWS 受管政策作為[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)套用至未驗證的使用者。此 AWS 受管政策沒有預期的管理用途。不過,它會限制您可在身分集區[增強型驗證流程](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication-flow.html)中套用至訪客使用者的許可範圍。如需詳細資訊,請參閱[IAM 角色](iam-roles.md)。
**AWS Amazon Cognito 授予訪客使用者的 受管 IAM 政策**
+ `AmazonCognitoUnAuthedIdentitiesSessionPolicy` - 結合內嵌工作階段政策, 會限制 IAM 管理員可授予身分集區訪客使用者的許可。Amazon Cognito 會自動將此政策套用至訪客工作階段。如需詳細資訊,請參閱[訪客的 AWS 受管工作階段政策](iam-roles.md#access-policies-managed-policy)。
## AWS 受管政策的 Amazon Cognito 更新
檢視自此服務開始追蹤 Amazon Cognito AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon Cognito [文件歷程記錄](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-document-history.html)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AmazonCognitoPowerUser–變更 | Amazon Cognito 新增了新的動作,以允許使用適用於 Amazon Cognito 使用者集區管理進階使用者的 AWS End User Messaging SMS API 操作 [DescribeAccountAttributes](https://docs.aws.amazon.com/pinpoint/latest/apireference_smsvoicev2/API_DescribeAccountAttributes.html)。 | 2025 年 2 月 27 日 |
| AmazonCognitoUnAuthedIdentitiesSessionPolicy–變更 | Amazon Cognito 新增了動作,以允許 AWS Key Management Service 在身分集區中使用未經驗證 (訪客) 的使用者。 | 2024 年 10 月 30 日 |
| AmazonCognitoUnAuthedIdentitiesSessionPolicy–變更 | Amazon Cognito 新增了動作,以允許在身分集區中為未驗證 (訪客) 的使用者使用 Amazon Location Service。 | 2024 年 8 月 9 日 |
| AmazonCognitoUnAuthedIdentitiesSessionPolicy–新政策 | 針對身分集區中訪客使用者的權限縮小範圍新增 AWS 受管政策。 | 2023 年 7 月 14 日 |
| AmazonCognitoPowerUser 和 AmazonCognitoReadOnly–Change | 新增了許可,以允許進階使用者檢視和管理 AWS WAF Web ACLs 與 Amazon Cognito 使用者集區的關聯。新增了許可,以允許唯讀使用者檢視 AWS WAF Web ACLs 與 Amazon Cognito 使用者集區的關聯。 | 2022 年 7 月 19 日 |
| AmazonCognitoPowerUser–變更 | 新增許可,允許 Amazon Cognito 呼叫 Amazon Simple Email Service PutIdentityPolicy 和 ListConfigurationSets 操作。這項變更可讓 Amazon Cognito 使用者集區更新 Amazon SES 傳送授權政策,並當您在使用者集區中設定傳送電子郵件時套用 Amazon SES 組態集。 | 2021 年 11 月 17 日 |
| AmazonCognitoPowerUser–變更 | 新增許可,允許 Amazon Cognito 呼叫 Amazon Simple Notification Service 的 `GetSMSSandboxAccountStatus` 操作。
這項變更可讓 Amazon Cognito 使用者集區決定是否需淘汰 Amazon Simple Notification Service 沙盒,以便透過使用者集區傳送訊息給所有最終使用者。 | 2021 年 6 月 1 日 |
| Amazon Cognito 開始追蹤變更 | Amazon Cognito 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 1 日 |