Amazon Cognito でユーザープールの作成を試行すると、"Access Denied" エラーが発生する場合の解決方法を教えてください。

解決策

"Access Denied" エラーは、AWS Identity and Access Management (IAM) ユーザーまたはロールには Amazon Cognito リソースの作成と管理に必須の権限が欠けている場合に発生します。この問題を解決するには、IAM ポリシー AmazonCognitoPowerUser を IAM ユーザーまたはロールにアタッチします。

次の手順を実行します。

1. IAM コンソールを開きます。
2. ナビゲーションペインで、[ユーザー] を選択して IAM ユーザーに権限を付与します。または、[ロール] を選択して IAM ロールに権限を付与します。
3. IAM ユーザーまたはロールを選択します。
4. [権限] タブで [権限の追加] セクションを展開し、[既存のポリシーを直接アタッチ] を選択します。
5. 検索ボックスに AmazonCognitoPowerUser を入力します。
6. AmazonCognitoPowerUser ポリシーにチェックを入れます。
7. [次へ: 確認] を選択します。
8. ポリシーを確認した後、[権限の追加] を選択します。

注: マネージドポリシー AmazonCognitoPowerUser は、Amazon Cognito リソースへのフルアクセスを付与します。アクセスを制限するには、必須権限のみを含むカスタム IAM ポリシーを作成します。詳細については、「Amazon Cognito 用の Amazon マネージドポリシー」を参照してください。

Short Message Service (SMS) 構成で Amazon Cognito ユーザープールを作成する場合は、次のサンプルポリシーも IAM ユーザーまたはロールにアタッチする必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CognitoServiceRoleManagement",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam:444455556666:role/service-role/CognitoIdpSNSServiceRole"
        },
        {
            "Sid": "CognitoServiceRolePolicyCreation",
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy"
            ],
            "Resource": "arn:aws:iam:444455556666:policy/service-role/Cognito-*"
        }
    ]
}

注: 444455556666を AWS アカウント ID に置き換えてください。

関連情報

Amazon Cognito ユーザープール

ユーザーアカウントのサインアップと確認