问题标签 [amazon-cognito-triggers]

我正在尝试使用 python 创建一个迁移触发器来更改我的用户池。在此触发器中，context.succeed(event)在成功验证用户后需要将替代方案发送回 cognito。

我尝试InitiateAuth从 AWS CLI 调用 API。我已经设置了定义身份验证，创建身份验证并正确验证身份验证 lambda 触发器。问题是，当我运行以下命令时，它显示错误：

错误：An error occurred (UserLambdaValidationException) when calling the InitiateAuth operation: DefineAuthChallenge failed with error Cannot read property 'challengeName' of undefined.

我检查了 Define Auth lambda 代码，以及 Lambda 执行的 Cloud Watch 日志。发生错误是因为来自 Cognito 的输入session在事件 json 中包含一个空键（通常从 Cognito 发送到 Lambda）。由于属性challengeName位于session密钥内（如官方文档所示）。

这是当我运行该命令时从 Cognito 发送到 Lambda 的 JSON 事件（我从 CloudWatch Lambda 日志中获取了这个 JSON，我打印了从 Cognito 发送的 JSON 事件event）：

是什么原因？是因为我从 CLI 发送请求，所以 Cognito 无法创建会话或其他什么？我不确定。任何帮助将不胜感激。

直到最近，我在一个微服务中有一个 lambda，它由 cognito PreSignUp 事件触发。现在我需要在另一个微服务中运行另一个，但是自从我把它放进去之后，只有一个真正运行。我必须做些什么才能使用相同的触发事件执行这两个，甚至更多的 lambda？

我们有一个 Cognito 用户池，我们希望将其迁移到一个新的用户池以利用一些不同的配置。但是，我们的池包含使用电子邮件、Google 和 Facebook 注册的用户。

我了解如何迁移电子邮件/密码帐户，但我不了解应如何迁移社交帐户。

从这个问题，我可以看到没有办法使用不同的身份验证流程，所以我猜社交账户也有一些限制？

我们想到的一种方法是实际手动导入社交帐户。这是处理将社交帐户迁移到新池的正确方法吗？是否有不同的“AWS 赞助”方法？任何帮助，将不胜感激！

谢谢！

我正在使用 Cognito 进行身份验证项目，我正在尝试使用自定义触发流程中的 UserMigration 将我的用户迁移到 cognito 池forgot password flow（以下文档，有两种触发方式是登录和忘记密码 [1]）登录触发器正常工作，但问题发生在忘记密码，触发器不工作，cloudwatch-log中没有任何触发器！ 我一直在尝试和搜索很多地方，但仍然无法正常工作。这是我使用 python boto3 的 lambda 代码。用于忘记密码的：

我的期望是用户迁移触发器应该工作并简单地在忘记密码流程中唤醒。

预先感谢您帮助或回答此问题

非常感谢 ：）

注意：我也在ClientMetadata这个问题[2] 中添加了类似的内容，但是触发器仍然没有按预期工作。

[1] https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-migrate-user.html#aws-lambda-triggers-user-migration-example-1

[2] AWS Lambda UserMigration_ForgotPassword 触发器 | 不迁移用户

背景

大家好。首先，我正在学习 AWS Amplify / GraphQL，所以我不确定这是否是 GraphQL 特定的问题，或者它是否与 AWS Cognito 相关。也就是说，如果这个问题被认为是题外话，请引导我到一个更合适的地方问这个问题。

问题

使用 AWS Amplify 和 AWS Cognito，我希望 GraphQL 层仅响应特定于该实体的数据。举个例子：

给定一个组织和用户数据库结构，使得许多用户属于一个组织，我如何确保用户只能与特定于其所属组织的数据进行交互？

更详细的例子

鉴于下图，我如何确保user #2在查询 AWS Amplify GraphQL 层时，他们永远无法与organization #1的数据进行交互？

我试过的

目前，在 GraphQL 层中，我WHERE为每个查询手动添加了一个子句，这样客户端就无法查看跨组织数据。但是，这不会阻止任何用户创建自己的查询来查看跨组织数据。我目前正在考虑构建一个自定义授权解析器，但它似乎还不符合我的特定需求。

任何帮助是极大的赞赏。

我按照本指南自定义电子邮件确认并将用户重定向到特定网址。

现在我将通过电子邮件自动化工具处理这封电子邮件，所以我的目的是抑制认知电子邮件并通过外部提供商发送确认电子邮件（指定要在该电子邮件中呈现的确认链接）。

有没有办法阻止 cognito 电子邮件保持相同的确认流程？

我正在尝试设计用于身份验证的角度登录页面，我们正在使用 cognito 服务我想在登录时删除 OTP 我如何在 cognito 中实现？

我正在尝试创建自定义 lambda 函数，以便在注册过程后创建自定义消息：

1. 登记
2. 确认电子邮件
3. 开始使用网站

不幸的是，我在使用 lambda 设置自定义消息时遇到了严重问题；我已将其放在 cognito 触发器中并与标题一起使用，但正文未渲染并采用 cognito 中指定的内容

这是我的原始 lambda 函数

我认为这可能与我在内部调用的两个变量有关emailMessage，但我真的不知道如何解决它

我已经使用 CLI 将特定的 Lambda 别名（请注意这一点）配置为 Cognito 触发器，因为 Web 控制台中没有这样做的规定。现在我正在PreSignUp invocation failed due to the error AccessDeniedException注册。我不确定，但这可能会发生，因为我已经使用 CLI 配置了触发器。我试图在 IAM 中找到 Cognito 特定角色，但我没有找到这样的角色。

那么如何更新 IAM 中缺少的权限呢？