Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de rôles liés à un service pour Amazon Cognito
<a name="using-service-linked-roles"></a>

[Amazon Cognito utilise des rôles liés à un Gestion des identités et des accès AWS service (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM doté d'une politique de confiance qui permet à un homme d' Service AWS assumer ce rôle. Les rôles liés à un service sont prédéfinis par Amazon Cognito et incluent toutes les autorisations requises par le service pour appeler AWS d'autres services en votre nom. 

Un rôle lié à un service simplifie la configuration d’Amazon Cognito, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Amazon Cognito définissant les autorisations de ses rôles liés à un service, sauf définition contraire, seul Amazon Cognito peut endosser ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Amazon Cognito sont ainsi protégées, car vous ne pouvez pas supprimer involontairement l’autorisation d’accéder aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services où **Oui** figure dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

## Autorisations de rôle lié à un service pour Amazon Cognito
<a name="slr-permissions"></a>

Amazon Cognito utilise les rôles liés à un service suivants :
+ ** AWSServiceRoleForAmazonCognitoIdpEmailService**— Permet au service de groupes d'utilisateurs Amazon Cognito d'utiliser vos identités Amazon SES pour envoyer des e-mails.
+ ** AWSServiceRoleForAmazonCognitoIdp**— Permet aux groupes d'utilisateurs Amazon Cognito de publier des événements et de configurer des points de terminaison pour vos projets Amazon Pinpoint.

**AWSServiceRoleForAmazonCognitoIdpEmailService**

Le rôle lié à un service `AWSServiceRoleForAmazonCognitoIdpEmailService` approuve les services suivants pour endosser le rôle :
+ `email.cognito-idp.amazonaws.com`

La politique d’autorisations de rôle permet à Amazon Cognito d’effectuer les actions suivantes sur les ressources spécifiées :

**Actions autorisées pour AWSService RoleForAmazonCognitoIdpEmailService :**
+ Action : `ses:SendEmail` et `ses:SendRawEmail`
+ Ressource : `*`

La politique refuse à Amazon Cognito la possibilité d’effectuer les actions suivantes sur les ressources spécifiées :

**Actions refusées**
+ Action : `ses:List*`
+ Ressource : `*`

Avec ces autorisations, Amazon Cognito peut utiliser vos adresses électroniques vérifiées dans Amazon SES uniquement pour envoyer des courriels à vos utilisateurs. Amazon Cognito envoie des courriels à vos utilisateurs quand ceux-ci effectuent certaines actions dans l’appli cliente pour un groupe d’utilisateurs, comme une inscription ou une réinitialisation de mot de passe.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

**AWSServiceRoleForAmazonCognitoIdp**

Le rôle AWSService RoleForAmazonCognitoIdp lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `email.cognito-idp.amazonaws.com`

La politique d’autorisations de rôle permet à Amazon Cognito d’effectuer les actions suivantes sur les ressources indiquées :

**Actions autorisées pour AWSService RoleForAmazonCognitoIdp**
+ Action : `cognito-idp:Describe` 
+ Ressource : `*`

Avec cette autorisation, Amazon Cognito peut appeler les opérations d’API Amazon Cognito `Describe` pour vous.

**Note**  
Lorsque vous intégrez Amazon Cognito avec Amazon Pinpoint en utilisant `createUserPoolClient` et `updateUserPoolClient`, des autorisations d’accès aux ressources sont ajoutées au rôle lié à un service (SLR) en tant que politique incluse. La politique incluse fournit des autorisations `mobiletargeting:UpdateEndpoint` et `mobiletargeting:PutEvents`. Celles-ci permettent à Amazon Cognito de publier des événements et de configurer des points de terminaison pour les projets Pinpoint que vous intégrez avec Cognito.

## Création d’un rôle lié à un service pour Amazon Cognito
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous configurez un groupe d'utilisateurs afin qu'il utilise votre configuration Amazon SES pour gérer la livraison des e-mails dans l' AWS Management Console API Amazon Cognito ou dans l'API Amazon Cognito, Amazon Cognito crée le rôle lié au service pour vous. AWS CLI

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez un groupe d’utilisateurs pour utiliser votre configuration Amazon SES pour gérer la livraison des courriels, Amazon Cognito crée à nouveau le rôle lié à un service pour vous. 

Pour permettre à Amazon Cognito de créer ce rôle, les autorisations IAM que vous utilisez pour configurer votre groupe d’utilisateurs doivent inclure l’action `iam:CreateServiceLinkedRole`. Pour plus d’informations sur la mise à jour des autorisations dans IAM, consultez [Modification des autorisations pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) dans le *Guide de l’utilisateur IAM*.

## Modification d’un rôle lié à un service pour Amazon Cognito
<a name="edit-slr"></a>

 Vous ne pouvez pas modifier les rôles AmazonCognitoIdp ou les rôles AmazonCognitoIdpEmailService liés à un service dans. Gestion des identités et des accès AWS Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Suppression d’un rôle lié à un service pour Amazon Cognito
<a name="delete-slr"></a>

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. Si vous supprimez ce rôle, vous ne retenez que les entités qu’Amazon Cognito surveille ou gère activement. Avant de supprimer des rôles AmazonCognitoIdp ou des rôles AmazonCognitoIdpEmailService liés à un service, vous devez effectuer l'une des opérations suivantes pour chaque groupe d'utilisateurs qui utilise le rôle :
+ Supprimer le groupe d’utilisateurs.
+ Mettre à jour les paramètres de messagerie dans le groupe d’utilisateurs afin d’utiliser la fonctionnalité de messagerie par défaut. Le paramètre par défaut n’utilise pas le rôle lié à un service.

N'oubliez pas d'exécuter l'action dans chacune d'elles Région AWS avec un groupe d'utilisateurs utilisant le rôle.

**Note**  
Si le service Amazon Cognito utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer un groupe d’utilisateurs Amazon Cognito**

1. Connectez-vous à la console Amazon Cognito AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/cognito](https://console.aws.amazon.com/cognito)

1. Sélectionnez **Gérer les groupes d’utilisateurs**.

1. Sur la page **Vos groupes d’utilisateurs**, choisissez le groupe d’utilisateurs que vous souhaitez supprimer.

1. Sélectionnez **Supprimer le groupe**.

1. Dans la fenêtre **Supprimer un groupe d’utilisateurs**, saisissez **delete**, puis choisissez **Supprimer le groupe**.

**Pour mettre à jour un groupe d’utilisateurs Amazon Cognito afin qu’il utilise la fonctionnalité de courriel par défaut**

1. Connectez-vous à la console Amazon Cognito AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/cognito](https://console.aws.amazon.com/cognito)

1. Sélectionnez **Gérer les groupes d’utilisateurs**.

1. Sur la page **Vos groupes d’utilisateurs**, choisissez le groupe d’utilisateurs que vous souhaitez mettre à jour.

1. Dans le menu de navigation de gauche, choisissez **Personnalisation des messages**.

1. Sous **Do you want to send emails through your Amazon SES Configuration? (Voulez-vous à envoyer les courriels via votre configuration Amazon SES ?)**, choisissez **No - Use Cognito (Default) [Non - Utiliser Cognito (par défaut)]**.

1. Une fois que vous avez défini les options de votre compte de messagerie, choisissez **Enregistrer les modifications**.

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM AWS CLI, l'API ou l' AWS API pour supprimer des rôles AmazonCognitoIdp ou liés à un AmazonCognitoIdpEmailService service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles liés à un service Amazon Cognito
<a name="slr-regions"></a>

Amazon Cognito prend en charge les rôles liés au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [Régions AWS and Endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#cognito_identity_region).