本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Cognito 使用者集區的動作、資源與條件索引鍵
Amazon Cognito 使用者集區 (服務字首:cognito-idp) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon Cognito 使用者集區定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddCustomAttributes | 准許將使用者屬性新增至使用者集區結構描述 | 寫入 | |||
| AdminAddUserToGroup | 准許將任何使用者新增至任何群組 | 寫入 | |||
| AdminConfirmSignUp | 准許在沒有確認代碼的情況下確認任何使用者的註冊 | 寫入 | |||
| AdminCreateUser | 准許建立新使用者並透過電子郵件或 SMS 傳送歡迎訊息 | 寫入 | |||
| AdminDeleteUser | 准許刪除任何使用者 | 寫入 | |||
| AdminDeleteUserAttributes | 准許從任何使用者刪除屬性 | 寫入 | |||
| AdminDisableProviderForUser | 准許取消任何使用者集區使用者與第三方身分提供者 (IdP) 使用者的連結 | 寫入 | |||
| AdminDisableUser | 准許停用任何使用者 | 寫入 | |||
| AdminEnableUser | 准許啟用任何使用者 | 寫入 | |||
| AdminForgetDevice | 准許取消註冊任何使用者的裝置 | 寫入 | |||
| AdminGetDevice | 准許取得任何使用者裝置的相關資訊 | 閱讀 | |||
| AdminGetUser | 准許依使用者名稱查詢任何使用者 | 閱讀 | |||
| AdminInitiateAuth | 准許驗證任何使用者身分 | 寫入 | |||
| AdminLinkProviderForUser | 准許將任何使用者集區使用者連結至第三方 IdP 使用者 | 寫入 | |||
| AdminListDevices | 准許列出任何使用者記住的裝置 | 清單 | |||
| AdminListGroupsForUser | 准許列出任何使用者所屬的群組 | 清單 | |||
| AdminListUserAuthEvents | 准許列出任何使用者登入事件 | 閱讀 | |||
| AdminRemoveUserFromGroup | 准許從任何群組移除任何使用者 | 寫入 | |||
| AdminResetUserPassword | 准許重設任何使用者的密碼 | 寫入 | |||
| AdminRespondToAuthChallenge | 准許在任何使用者身分驗證期間回應身分驗證挑戰 | 寫入 | |||
| AdminSetUserMFAPreference | 准許設定任何使用者的偏好 MFA 方法 | 寫入 | |||
| AdminSetUserPassword | 准許設定任何使用者的密碼 | 寫入 | |||
| AdminSetUserSettings | 准許設定任何使用者的使用者設定 | 寫入 | |||
| AdminUpdateAuthEventFeedback | 准許更新任何使用者身分驗證事件的進階安全回饋 | 寫入 | |||
| AdminUpdateDeviceStatus | 准許更新任何使用者記住的裝置的狀態 | 寫入 | |||
| AdminUpdateUserAttributes | 准許更新任何使用者的標準或自訂屬性 | 寫入 | |||
| AdminUserGlobalSignOut | 准許將任何使用者從所有工作階段登出 | 寫入 | |||
| AssociateSoftwareToken | 准許傳回使用者唯一產生的共用密鑰程式碼 | 寫入 | |||
| AssociateWebACL [僅限許可] | 准許將使用者集區與 AWS WAF Web ACL 建立關聯 | 寫入 | |||
| ChangePassword | 准許為使用者集區中指定的使用者變更密碼 | 寫入 | |||
| ConfirmDevice | 准許確認追蹤裝置。這個 API 呼叫就是啟動裝置追蹤的呼叫 | 寫入 | |||
| ConfirmForgotPassword | 准許讓使用者輸入確認碼以重設忘記的密碼 | 寫入 | |||
| ConfirmSignUp | 准許確認使用者已註冊並處理之前使用者的現有別名 | 寫入 | |||
| CreateGroup | 准許建立新的使用者集區群組 | 寫入 | |||
| CreateIdentityProvider | 准許將身分提供者新增至使用者集區 | 寫入 | |||
| CreateManagedLoginBranding | 准許為受管登入建立品牌設定,並將其與應用程式用戶端建立關聯 | 寫入 | |||
| CreateResourceServer | 准許建立和設定 OAuth 2.0 資源伺服器的範圍 | 寫入 | |||
| CreateUserImportJob | 准許建立使用者 CSV 匯入任務 | 寫入 | |||
| CreateUserPool | 准許建立和設定使用者集區的密碼政策 | 寫入 | |||
| CreateUserPoolClient | 准許建立使用者集區應用程式用戶端 | 寫入 | |||
| CreateUserPoolDomain | 准許新增使用者集區網域 | 寫入 | |||
| DeleteGroup | 准許刪除任何空的使用者集區群組 | 寫入 | |||
| DeleteIdentityProvider | 准許從使用者集區刪除任何身分提供者 | 寫入 | |||
| DeleteManagedLoginBranding | 准許刪除任何應用程式用戶端的受管登入品牌樣式 | 寫入 | |||
| DeleteResourceServer | 准許從使用者集區刪除任何 OAuth 2.0 資源伺服器 | 寫入 | |||
| DeleteUser | 准許讓使用者刪除自己 | 寫入 | |||
| DeleteUserAttributes | 准許為使用者刪除屬性 | 寫入 | |||
| DeleteUserPool | 准許刪除使用者集區 | 寫入 | |||
| DeleteUserPoolClient | 准許刪除任何使用者集區應用程式用戶端 | 寫入 | |||
| DeleteUserPoolDomain | 准許刪除任何使用者集區網域 | 寫入 | |||
| DescribeIdentityProvider | 准許描述任何使用者集區身分提供者 | 閱讀 | |||
| DescribeManagedLoginBranding | 准許取得受管登入之品牌樣式的詳細資訊 | 閱讀 | |||
| DescribeManagedLoginBrandingByClient | 准許取得與應用程式相關聯之受管登入品牌樣式的詳細資訊 | 閱讀 | |||
| DescribeResourceServer | 准許描述任何 OAuth 2.0 資源伺服器 | 閱讀 | |||
| DescribeRiskConfiguration | 准許描述使用者集區和應用程式用戶端的風險組態設定 | 閱讀 | |||
| DescribeUserImportJob | 准許描述任何使用者匯入任務 | 閱讀 | |||
| DescribeUserPool | 准許描述使用者集區 | 閱讀 | |||
| DescribeUserPoolClient | 准許描述任何使用者集區應用程式用戶端 | 閱讀 | |||
| DescribeUserPoolDomain | 准許描述任何使用者集區網域 | 閱讀 | |||
| DisassociateWebACL [僅限許可] | 准許取消使用者集區與 AWS WAF Web ACL 的關聯 | 寫入 | |||
| ForgetDevice | 准許清除指定的裝置 | 寫入 | |||
| ForgotPassword | 准許將包含確認碼的訊息傳送給最終使用者,此確認碼是變更使用者密碼的必要項目 | 寫入 | |||
| GetCSVHeader | 准許為使用者匯入 .csv 檔案產生標頭 | 閱讀 | |||
| GetDevice | 准許取得裝置 | 閱讀 | |||
| GetGroup | 准許描述使用者集區群組 | 閱讀 | |||
| GetIdentityProviderByIdentifier | 准許將使用者集區 IdP 識別符與 IdP 名稱關聯 | 閱讀 | |||
| GetLogDeliveryConfiguration | 准許取得使用者集區的詳細活動記錄組態 | 閱讀 | |||
| GetSigningCertificate | 准許查詢使用者集區的簽署憑證 | 閱讀 | |||
| GetTokensFromRefreshToken | 准許使用重新整理權杖更新使用者權杖 | 寫入 | |||
| GetUICustomization | 准許取得任何應用程式用戶端的託管 UI 的 UI 自訂資訊 | 閱讀 | |||
| GetUser | 准許取得使用者的使用者屬性和中繼資料 | 閱讀 | |||
| GetUserAttributeVerificationCode | 准許取得指定屬性名稱的使用者屬性驗證碼 | 閱讀 | |||
| GetUserPoolMfaConfig | 准許查詢使用者集區的 MFA 組態 | 閱讀 | |||
| GetWebACLForResource [僅限許可] | 准許取得與 Amazon Cognito 使用者集區相關聯的 AWS WAF Web ACL | 閱讀 | |||
| GlobalSignOut | 准許將使用者從所有裝置登出 | 寫入 | |||
| InitiateAuth | 准許啟動驗證流程 | 寫入 | |||
| ListDevices | 准許列出裝置 | 清單 | |||
| ListGroups | 准許列出使用者集區中的所有群組 | 清單 | |||
| ListIdentityProviders | 准許列出使用者集區中的所有身分提供者 | 清單 | |||
| ListResourceServers | 准許列出使用者集區中的所有資源伺服器 | 清單 | |||
| ListResourcesForWebACL [僅限許可] | 准許列出與 AWS WAF Web ACL 相關聯的使用者集區 | 清單 | |||
| ListTagsForResource | 准許列出指派給 Amazon Cognito 使用者集區的標籤 | 清單 | |||
| ListUserImportJobs | 准許列出所有使用者匯入任務 | 清單 | |||
| ListUserPoolClients | 准許列出使用者集區中的所有應用程式用戶端 | 清單 | |||
| ListUserPools | 准許列出所有使用者集區 | 清單 | |||
| ListUsers | 准許列出所有使用者集區使用者 | 清單 | |||
| ListUsersInGroup | 准許列出任何群組中的使用者 | 清單 | |||
| ResendConfirmationCode | 准許將確認 (註冊確認) 重新傳送給使用者集區中的特定使用者 | 寫入 | |||
| RespondToAuthChallenge | 准許回應身分驗證挑戰 | 寫入 | |||
| RevokeToken | 准許將指定重新整理權杖產生的所有存取權杖撤銷 | 寫入 | |||
| SetLogDeliveryConfiguration | 准許設定或修改使用者集區的詳細活動記錄組態 | 寫入 | |||
| SetRiskConfiguration | 准許設定使用者集區和應用程式用戶端的風險組態 | 寫入 | |||
| SetUICustomization | 准許自訂任何應用程式用戶端的託管 UI | 寫入 | |||
| SetUserMFAPreference | 准許在使用者集區中設定使用者的 MFA 偏好設定 | 寫入 | |||
| SetUserPoolMfaConfig | 准許設定使用者集區 MFA 組態 | 寫入 | |||
| SetUserSettings | 准許進行使用者設定,例如多重要素驗證 (MFA) | 寫入 | |||
| SignUp | 准許在指定的使用者集區中註冊使用者,並建立使用者名稱、密碼和使用者屬性 | 寫入 | |||
| StartUserImportJob | 准許啟動任何使用者匯入任務 | 寫入 | |||
| StopUserImportJob | 准許停止任何使用者匯入任務 | 寫入 | |||
| TagResource | 准許標記使用者集區 | 標記 | |||
| UntagResource | 准許取消標記使用者集區 | 標記 | |||
| UpdateAuthEventFeedback | 准許更新使用者驗證事件的意見回饋 | 寫入 | |||
| UpdateDeviceStatus | 准許更新裝置狀態 | 寫入 | |||
| UpdateGroup | 准許更新任何群組的組態 | 寫入 | |||
| UpdateIdentityProvider | 准許更新任何使用者集區 IdP 的組態 | 寫入 | |||
| UpdateManagedLoginBranding | 准許更新受管登入的品牌設定 | 寫入 | |||
| UpdateResourceServer | 准許更新任何 OAuth 2.0 資源伺服器的組態 | 寫入 | |||
| UpdateUserAttributes | 准許讓使用者更新特定屬性 (一次更新一個) | 寫入 | |||
| UpdateUserPool | 准許更新使用者集區的組態 | 寫入 | |||
| UpdateUserPoolClient | 准許更新任何使用者集區用戶端 | 寫入 | |||
| UpdateUserPoolDomain | 准許取代任何自訂網域的憑證 | 寫入 | |||
| VerifySoftwareToken | 准許註冊使用者輸入的 TOTP 程式碼,如果成功的話,則將使用者的軟體權杖 MFA 狀態標記為已驗證 | 寫入 | |||
| VerifyUserAttribute | 准許使用一次性驗證碼驗證使用者屬性 | 寫入 |
Amazon Cognito User Pools 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
Amazon Cognito 使用者集區條件索引鍵
Amazon Cognito 使用者集區定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對篩選存取權 | String |
| aws:TagKeys | 依請求中的金鑰是否存在來篩選存取 | ArrayOfString |
