如何解決在 Amazon Cognito 嘗試建立使用者集區時出現的「Access Denied」錯誤？

解決方法

當您的 AWS Identity and Access Management (IAM) 使用者或角色沒有建立和管理 Amazon Cognito 資源所需的權限時，就會發生「Access Denied」錯誤。若要解決此問題，請將 AmazonCognitoPowerUser IAM 政策附加到您的 IAM 使用者或角色。

請完成下列步驟：

1. 開啟 IAM console (IAM 主控台)。
2. 在導覽窗格中，選擇 Users (使用者) 以授予 IAM 使用者權限。或選擇 Roles (角色) 以授予 IAM 角色權限。
3. 選取 IAM 使用者或角色。
4. 在 Permissions (權限) 索引標籤上，展開 Add permissions (新增權限) 區段，然後選擇 Attach existing policies directly (直接附加現有政策)。
5. 在搜尋方塊中輸入 AmazonCognitoPowerUser。
6. 選取 AmazonCognitoPowerUser 政策的核取方塊。
7. 選擇 Next: Review (下一步：檢閱)。
8. 檢閱政策後，選擇 Add permissions (新增權限)。

**注意：**AmazonCognitoPowerUser 受管政策提供對 Amazon Cognito 資源的完整存取權。若要限制存取，請建立僅包含所需權限的自訂 IAM 政策。如需更多資訊，請參閱 Amazon Cognito 的 Amazon 受管政策。

如果您建立的 Amazon Cognito 使用者集區包含簡訊服務 (SMS) 組態，請同時將以下範例政策附加到您的 IAM 使用者或角色：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CognitoServiceRoleManagement",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam:444455556666:role/service-role/CognitoIdpSNSServiceRole"
        },
        {
            "Sid": "CognitoServiceRolePolicyCreation",
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy"
            ],
            "Resource": "arn:aws:iam:444455556666:policy/service-role/Cognito-*"
        }
    ]
}

**注意：**將 444455556666 替換為您的 AWS 帳戶 ID。

相關資訊

Amazon Cognito 使用者集區

註冊及確認使用者帳戶