Greifen Sie über einen Schnittstellenendpunkt auf Amazon Cognito zu ()AWS PrivateLink - Amazon Cognito
Authentifizierungsabläufe für die Integration AWS PrivateLinkBetriebsmodi für AWS PrivateLinkÜberlegungenSteuern des Zugriffs mit Richtlinien zur RessourcensteuerungErstellen eines SchnittstellenendpunktsErstellen einer EndpunktrichtlinieErstellen Sie eine identitätsbasierte Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie über einen Schnittstellenendpunkt auf Amazon Cognito zu ()AWS PrivateLink

Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und Amazon Cognito herzustellen. Sie können auf Amazon Cognito zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Amazon Cognito zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Amazon Cognito bestimmt ist.

Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.

Wichtig

Die folgenden Authentifizierungstypen werden derzeit nicht unterstützt von: AWS PrivateLink

  1. Machine-to-Machine-Autorisierung (M2M) mit dem OAuth 2.0-Client-Anmeldedatenfluss

  2. Melden Sie sich mit verwalteter Anmeldung und der klassischen gehosteten Benutzeroberfläche an.

In der folgenden Tabelle werden die Authentifizierungsabläufe beschrieben, die den Clients in zur Verfügung stehen VPCs, und die IAM-Richtlinien, die Sie zu ihrer Steuerung anwenden können. Bei den Richtlinien, die Sie in Anfragen an Benutzerpools auswerten können, handelt es sich um Ressourcensteuerungsrichtlinien (RCPs), VPC-Endpunktrichtlinien und identitätsbasierte Richtlinien.

Ressource Authentifizierungsfluss Richtlinien, die ausgewertet werden, wenn der Client einen VPC-Endpunkt überträgt Richtlinien werden ausgewertet, wenn der Ursprung des Clients öffentlich ist
Benutzerpool Verwaltete Anmeldung und klassische Anmeldung über gehostete Benutzeroberflächen Keine (kein Zugriff) 1 Keine 2
Benutzerpool Machine-to-machine Autorisierung Keine (kein Zugriff) 1 Keine 2
Benutzerpool Unauthentifizierte SDK- und REST-API-Anfragen RCPs, VPC-Endpunktrichtlinien 3 RCPs
Benutzerpool Authentifizierte SigV4-Anfragen mit SDK und REST-API RCPs, VPC-Endpunktrichtlinien, identitätsbasierte Richtlinien 3 RCPs, identitätsbasierte Richtlinien
Identitäten-Pool Unauthentifizierte SDK- und REST-API-Anfragen (einfache und erweiterte Abläufe) RCPs, VPC-Endpunktrichtlinien RCPs
Identitäten-Pool SDK- und REST-API-SigV4-authentifizierte Anfragen (vom Entwickler authentifizierter Ablauf) RCPs, identitätsbasierte Richtlinien RCPs, identitätsbasierte Richtlinien

1 VPC-Endpunkte akzeptieren keine Anfragen für Benutzerpool-Domänen. Wenn der Client über eine Route zum Internet verfügt, wird NAT angewendet, wodurch der Ursprung veröffentlicht wird.

2 Das Vorhandensein einer Benutzerpool-Domäne verhindert den Abschluss von Benutzerpoolanfragen, die einen VPC-Endpunkt übertragen. Jeder Client kann öffentliche Transportwege nur zur Benutzerpool-Domäne und zu den API-Dienstendpunkten verwenden, wodurch der VPC-Endpunkt für den Benutzerpool unbrauchbar wird. Benutzerpools mit zugewiesenen Domänen sind nicht kompatibel mit. AWS PrivateLink

3 Dem Benutzerpool darf keine Domäne zugewiesen sein.

Die folgenden Beispielimplementierungsmodelle werden mit AWS PrivateLink und Amazon Cognito unterstützt.

Ressource Implementierung Aktionen
Benutzerpool Vollständig private SDK- oder REST-API-Anwendung

  1. Domain löschen

  2. VPC-Endpunkt erstellen

  3. Konfigurieren Sie RCP für Deny alle Cognito-IDP-Aktionen außer VPC
Benutzerpool Privat und öffentlich

  1. Domäne löschen

  2. VPC-Endpunkt erstellen
Benutzerpool Privater oder öffentlicher OAuth 2.0-Autorisierungsserver

  1. Nicht verfügbar für VPC
Identitäten-Pool Vollständig privat

  1. VPC-Endpunkt erstellen

  2. RCP für Deny alle Cognito-Identity-Aktionen außer VPC konfigurieren
Identitäten-Pool Privat und öffentlich

  1. VPC-Endpunkt erstellen

Überlegungen zu Amazon Cognito

Bevor Sie einen Schnittstellenendpunkt für Amazon Cognito einrichten, lesen Sie die Überlegungen im AWS PrivateLink Handbuch. Amazon Cognito unterstützt Aufrufe aller Amazon Cognito Cognito-API-Aktionen über den Schnittstellenendpunkt. Weitere Informationen zu diesen Vorgängen finden Sie in der Amazon Cognito User Pools API-Referenz und Amazon Cognito Federated Identities API-Referenz.

AWS PrivateLink für Amazon Cognito ist nur in kommerziellen AWS Regionen verfügbar.

Benutzerpools und AWS PrivateLink

Sie können über den Schnittstellenendpunkt Anfragen an alle API-Operationen von Benutzerpools stellen, jedoch nicht an Operationen, die Ihre Anwendung vom Benutzerpool OAuth 2.0-Autorisierungsserver anfordert, z. B. die Gewährung von Client-Anmeldeinformationen und die verwaltete Anmeldung.

Die cognito-idp Benutzerpools-API verfügt über nicht authentifizierte, authentifizierte und durch Tokens autorisierte API-Operationen. Sie können Berechtigungen für authentifizierte Operationen in VPC-Endpoint- und Resource Control-Richtlinien gewähren. Im Gegensatz zu identitätsbasierten Richtlinien können Sie auch Berechtigungen für nicht authentifizierte und tokenautorisierte Vorgänge gewähren. VPC-Endpoint- und Resource Control-Richtlinientypen können Anfragen für ansonsten öffentliche Operationen auswerten und ablehnen oder zulassen.

Anfragen an Domänenendpunkte sind ebenfalls öffentlich, aber Sie können sie nicht in Richtlinien auswerten. VPC Private DNS leitet Anfragen für Benutzerpool-Domänen nicht an Ihren VPC-Endpunkt weiter. Sie können Anfragen für Domänendienste nur über öffentliche Internetpfade stellen. Weitere Informationen finden Sie unter Auswirkungen von Richtlinien auf den Betrieb von Benutzerpools.

Unterstützte Vorgänge

Systeme in einer VPC können Anfragen an API-Aktionen für Benutzerpools senden, jedoch nicht an Domänenendpunkte des Benutzerpools. OpenID Connect (OIDC) und OAuth 2.0-Workflows, die beispielsweise Domänenendpunkte machine-to-machine(M2M), föderierte Anmeldung und Autorisierungscodegewährungen verwenden, sind über VPC-Endpunkte nicht zugänglich. VPC-Endpunktrichtlinien haben keine Auswirkungen auf diese HTTP-Workflows und können sie nicht verarbeiten. Anfragen an Domänenendpunkte innerhalb einer VPC schlagen immer am Schnittstellenendpunkt fehl, sind aber weiterhin über öffentliches DNS und Routing verfügbar, wenn Sie VPC-Endpunkte für Ihre Benutzerpools einrichten.

Um die Zuweisung von Domänen von Systemen in einer VPC zu verhindern, blockiert Amazon Cognito CreateUserPoolDomain Anfragen am Schnittstellenendpunkt. Dadurch wird verhindert, dass Ihren Benutzerpools Domänen von Systemen hinzugefügt werden, die sich in einer VPC befinden. Um zu verhindern, dass eine Domain von allen Systemen aus hinzugefügt wird, wenden Sie eine Resource Control Policy (RCP) wie im folgenden Beispiel auf Ihr System an. AWS-Konto Diese Richtlinie blockiert die CreateUserPoolDomain Aktion gegen den angegebenen Benutzerpool.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Deny",
            "Action": [
                "cognito-idp:CreateUserPoolDomain"
            ],
            "Resource": "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_EXAMPLE"
        }
    ]
}

Ihr Benutzerpool hat möglicherweise eine Domäne, und in allen Fällen ist diese Domäne nicht verfügbar AWS PrivateLink. Alle SDK-basierten Benutzerpool-API-Anfragen an cognito-idp Dienstendpunkte akzeptieren Anfragen über AWS PrivateLink, mit Ausnahme von. CreateUserPoolDomain API-Dienstendpunkte und Domänenendpunkte des Benutzerpools bleiben immer über öffentliche Internetpfade zugänglich. Implementieren Sie Web, um den Zugriff aus öffentlichen Quellen zu verhindern.AWS WAF ACLs

Auswirkungen von Richtlinien auf den Betrieb von Benutzerpools

Alle API-Operationen für Benutzerpools, auch solche, die normalerweise öffentlich und nicht authentifiziert sind, können in VPC-Endpunktrichtlinien und Ressourcensteuerungsrichtlinien () gesteuert werden. RCPs Sie können den Zugriff auf Benutzerpools auch in identitätsbasierten Richtlinien mit VPC-Bedingungsschlüsseln einschränken. Nur Anfragen, die Authentifizierungsinformationen im SigV4-Format enthalten, können in identitätsbasierten Richtlinien gesteuert werden. Verwaltete Anmelde- und klassische Hosted UI-Operationen sind separate Kategorien und kommen nicht für den VPC-Transit oder die Anwendung irgendwelcher Richtlinien auf ihre Aktionen in Frage.

Nicht authentifizierte Operationen

Amazon Cognito Cognito-Operationen für clientseitige Anwendungen werden nicht mit Sigv4 authentifiziert. Beispieloperationen finden Sie in der Beispielrichtlinie unter. Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt Weitere Beispiele für nicht authentifizierte Operationen sind GetUser und. AssociateSoftwareToken Wenn Sie diese Operationen zu identitätsbasierten Richtlinien hinzufügen, haben sie keine Auswirkung. Sie können den Zugriff auf diese Aktionen jedoch in den VPC-Endpunktrichtlinien und RCPszulassen oder einschränken.

Nicht authentifizierte Operationen sind keinem IAM-Prinzipal zugeordnet. Ihre VPC-Endpunktrichtlinie oder RCP muss alle Principals für diese Aktionen zulassen.

Authentifizierte Operationen

API-Operationen für die Benutzerpoolverwaltung und die serverseitige Authentifizierung werden mit SigV4 authentifiziert. Bei authentifizierten Vorgängen können Sie Prinzipale mit Endpunktrichtlinien einschränken, die Sie auf den VPC-Endpunkt anwenden, mit Ressourcenkontrollrichtlinien in Ihrer Organisation und mit identitätsbasierten Richtlinien, die Sie auf Prinzipale anwenden. Identitätsbasierte Richtlinien und Richtlinien zur Ressourcenkontrolle sind VPC-fähig und enthalten netzwerkbasierte Bedingungsschlüssel wie und. aws:SourceVpc aws:SourceVpce

Weitere Hinweise zu serverseitigen, clientseitigen und administrativen Klassen von API-Operationen für Benutzerpools finden Sie unter. Autorisierungsmodelle für die API- und SDK-Authentifizierung

Identitätspools und AWS PrivateLink

Amazon Cognito Cognito-Identitätspools unterstützen alle API-Operationen über AWS PrivateLink.

Unterstützte Vorgänge

Alle API-Operationen für Identitätspools werden über den Schnittstellenendpunkt unterstützt. Identitätspools haben keine Domänenendpunkte und unterliegen nicht denselben Einschränkungen. Identitätspools müssen jedoch aufgrund ihrer Integration mit speziellen Anforderungen an netzwerkbasierte Zugriffskontrollen berücksichtigt werden. AWS STS

Einschränkungen des Netzwerkkontextes bei AWS STS der Integration

Identitätspools verwenden AWS STS AssumeRoleWithWebIdentity Operationen zur Bereitstellung temporärer AWS Anmeldeinformationen. Wenn AWS STS Identitätspools AWS PrivateLink im erweiterten Authentifizierungsablauf aufgerufen werden, aws:SourceVpce enthalten Netzwerkkontextschlüssel wie aws:SourceIpaws:SourceVpc, und Werte aus der Dienstinfrastruktur der Identitätspools, nicht aus dem Netzwerkkontext Ihrer Anwendung.

Wenn Ihre IAM-Rollenvertrauensrichtlinien oder Ressourcensteuerungsrichtlinien (RCPs) netzwerkbasierte Bedingungsschlüssel verwenden, um den Zugriff einzuschränken, werden Identitätspoolvorgänge möglicherweise unerwartet verweigert. Um diese Einschränkung zu umgehen, können Sie einen der folgenden Ansätze verwenden:

Haupt-Tags für die Identifizierung von Diensten

Kennzeichnen Sie die IAM-Rollen, die mit Identitätspools verwendet werden, und ändern Sie Ihre Richtlinien, um Operationen zuzulassen, wenn der Principal über das entsprechende Tag verfügt. Fügen Sie Ihrer Identitätspool-Rolle zunächst ein Tag hinzu:

aws iam tag-role \
    -\-role-name MyIdentityPoolRole \
    -\-tags Key=CognitoServiceCall,Value=true

Ändern Sie dann Ihre netzwerkbasierten Richtlinien, um markierte Principals zuzulassen. Zum Beispiel in einem RCP:

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": ["allowed-ip-ranges"]
                },
                "StringNotEqualsIfExists": {
                    "aws:ResourceTag/CognitoServiceCall": "true"
                }
            }
        }
    ]
}

Dienstspezifische Kontextschlüssel

Identitätspools bieten dienstspezifische Kontextschlüssel für die Autorisierung auf Ressourcenebene in VPC-Endpunktrichtlinien und. RCPs Mit diesen Kontextschlüsseln können Sie eine differenzierte Zugriffskontrolle ermöglichen und in Richtlinien zwischen authentifizierten und nicht authentifizierten Benutzern unterscheiden.

Verfügbare dienstspezifische Kontextschlüssel für Nicht-Sigv4-Operationen wie,,, GetIdGetCredentialsForIdentityGetOpenIdTokenUnlinkIdentity

  • cognito-identity-unauth:IdentityPoolArn- Filtert den Zugriff durch den Identitätspool-ARN für nicht authentifizierte Benutzer

  • cognito-identity-unauth:AccountId- Filtert den Zugriff nach der AWS-Konto ID für nicht authentifizierte Benutzer

  • cognito-identity-auth:IdentityPoolArn- Filtert den Zugriff durch den Identitätspool-ARN für authentifizierte Benutzer

  • cognito-identity-auth:AccountId- Filtert den Zugriff nach der AWS-Konto ID für authentifizierte Benutzer

Verfügbare dienstspezifische Kontextschlüssel für SigV4-Operationen wie und DeleteIdentitiesDescribeIdentity

  • cognito-identity:IdentityPoolArn- Filtert den Zugriff durch den Identitätspool ARN

Sie können diese Kontextschlüssel in VPC-Endpunktrichtlinien verwenden, um den Zugriff auf der Grundlage des Authentifizierungsstatus einzuschränken, wie im folgenden Beispiel gezeigt:

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "cognito-identity:GetId",
                "cognito-identity:GetCredentialsForIdentity"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cognito-identity-unauth:IdentityPoolArn": "arn:aws:cognito-identity:us-east-1:123456789012:identitypool/us-east-1:12345678-ffff-ffff-ffff-123456"
                }
            }
        }
    ]
}

Steuern des Zugriffs mit Richtlinien zur Ressourcensteuerung

Amazon Cognito unterstützt die Steuerung des Zugriffs auf Ihre Ressourcen mit Ressourcenkontrollrichtlinien (RCPs). Mit netzwerkbasierten Bedingungsschlüsseln RCPs können Sie die Netzwerke und Aktionen definieren, die für den AWS PrivateLink Zugriff auf Ihre Benutzerpools und Identitätspools zulässig sind. Die darin Action enthaltenen Anweisungen RCPs können den Zugriff auf API-Operationen für authentifizierte und nicht authentifizierte Benutzerpools steuern.

Die folgende Beispielrichtlinie verhindert beispielsweise den Zugriff auf alle Benutzerpools von einer bestimmten VPC aus.

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "DenyCognitoAccessOutsideVPC",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "cognito-idp:*",
      "Resource": "*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-02d6770f46ef1653b"
        }
      }
    }
  ]
}

Erstellen Sie einen Schnittstellenendpunkt für Amazon Cognito

Sie können einen Schnittstellenendpunkt für Amazon Cognito entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink -Leitfaden.

Erstellen Sie einen Schnittstellenendpunkt für Amazon Cognito Cognito-Benutzerpools mit dem folgenden Servicenamen:

com.amazonaws.region.cognito-idp

Erstellen Sie einen Schnittstellenendpunkt für Amazon Cognito Cognito-Identitätspools mit dem folgenden Dienstnamen:

com.amazonaws.region.cognito-identity

Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Amazon Cognito unter Verwendung des standardmäßigen regionalen DNS-Namens stellen. Zum Beispiel für Benutzerpools und cognito-idp.us-east-1.amazonaws.com cognito-identity.us-east-1.amazonaws.com für Identitätspools.

Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Amazon Cognito über den Schnittstellenendpunkt. Um den Zugriff auf Amazon Cognito von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

  • Die Bedingungen, die erfüllt sein müssen, bevor die Anfrage zugelassen oder abgelehnt wird.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Beispiel: VPC-Endpunktrichtlinie für Benutzerpool-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie für Benutzerpools. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Benutzerpoolaktionen.

{
   "Version": "2012-10-17", 		 	 	 		 	 	 
   "Statement": [
      {
         "Principal": { 
            "AWS": "arn:aws:iam::123456789012:assumed-role/MyWebAppRole/MyWebAppSession"
         }, 
         "Effect": "Allow",
         "Action": [
            "cognito-idp:AdminInitiateAuth",
            "cognito-idp:AdminRespondToAuthChallenge",
            "cognito-idp:AdminSetUserPassword"
         ],
         "Resource":"arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_EXAMPLE"
      },
      {
         "Effect": "Allow",
         "Action": [
            "cognito-idp:InitiateAuth",
            "cognito-idp:RespondToAuthChallenge",
            "cognito-idp:ForgotPassword",
            "cognito-idp:ConfirmForgotPassword"
         ],
         "Resource":"arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_EXAMPLE"
      }
   ]
}
Beispiel: VPC-Endpunktrichtlinie für Identitätspool-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie für Identitätspools. Diese Richtlinie verwendet dienstspezifische Kontextschlüssel, um den Zugriff auf authentifizierte Benutzer aus einem bestimmten Identitätspool zu beschränken.

{
   "Version": "2012-10-17", 		 	 	 		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Principal": "*",
         "Action": [
            "cognito-identity:GetId",
            "cognito-identity:GetCredentialsForIdentity",
            "cognito-identity:GetOpenIdToken"
         ],
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "cognito-identity-auth:IdentityPoolArn": "arn:aws:cognito-identity:us-east-1:123456789012:identitypool/us-east-1:12345678-ffff-ffff-ffff-123456"
            }
         }
      }
   ]
}

Erstellen Sie eine identitätsbasierte Richtlinie für Operationen AWS PrivateLink

Identitätsbasierte Richtlinien sind IAM-Ressourcen, die Sie Prinzipalen zuordnen können. AWS Sie können den Zugriff auf Amazon Cognito über VPC-Endpunkte mit identitätsbasierten Richtlinien für IAM-authentifizierte Vorgänge steuern. Im Gegensatz zu Endpunktrichtlinien können Sie in identitätsbasierten Richtlinien keine Berechtigungen für nicht authentifizierte Vorgänge konfigurieren. Für authentifizierte oder administrative Operationen ist eine Signature Version 4-Autorisierung erforderlich. Bei Benutzerpools umfassen authentifizierte Operationen serverseitige Authentifizierungsanfragen wie AdminInitiateAuthund administrative Anfragen wie. UpdateUserPool Bei Identitätspools umfassen authentifizierte Operationen administrative Anfragen wie und. DeleteIdentitiesDescribeIdentity

Eine identitätsbasierte Richtlinie spezifiziert die folgenden Informationen:

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

  • Die Bedingungen, die erfüllt sein müssen, bevor die Anfrage zugelassen oder abgelehnt wird.

Beispiel: Identitätsbasierte Richtlinie für die serverseitige Authentifizierung des Benutzerpools

Die folgende Beispielrichtlinie gewährt vom angegebenen Endpunkt aus Zugriff auf die aufgelisteten Benutzerpoolaktionen im angegebenen Benutzerpool. Wenden Sie diese Richtlinie auf die angenommene IAM-Rolle für Ihre Webanwendung an.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cognito-idp:AdminInitiateAuth",
                "cognito-idp:AdminRespondToAuthChallenge",
                "cognito-idp:AdminSetUserPassword"
            ],
            "Resource": "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_EXAMPLE",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
        }
    ]
}
Beispiel: Identitätsbasierte Richtlinie für Verwaltungsvorgänge im Identitätspool

Die folgende Beispielrichtlinie gewährt Zugriff auf administrative Aktionen des Identitätspools vom angegebenen VPC-Endpunkt aus. Wenden Sie diese Richtlinie auf den IAM-Prinzipal an, der die Verwaltung des Identitätspools durchführen muss.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cognito-identity:DeleteIdentities",
                "cognito-identity:DescribeIdentity"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                },
                "StringEquals": {
                   "cognito-identity:IdentityPoolArn": "arn:aws:cognito-identity:us-east-1:123456789012:identitypool/us-east-1:12345678-ffff-ffff-ffff-123456"
                }
            }
        }
    ]
}