问题标签 [aws-cognito]

在 AWS Cognito 用户池中，我们需要设置 SMS 配置：

http://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SmsConfigurationType.html

SMSCallerARN 和 ExternalID 是什么？如何配置它们？

我正在尝试构建一个 Web 应用程序，任何注册 facebook 的用户都可以访问该应用程序。我想使用 AWS Cognito 来加速用户管理的开发。

它必须有 3 种类型的用户：

• 普通用户 - 任何使用 facebook 登录的用户
• 编辑 - 具有不同访问级别（IAM 角色？）的用户，他们可以调用普通用户无法调用的特定 AWS Lambda 函数。
• 管理员 - 可以修改普通用户状态以使其成为编辑或管理员的用户

有人可以指出我正确的方向吗？我已经设置了 AWS Cognito 身份池，但我不确定是否必须设置用户池，或者如何为用户分配不同的角色或策略以使他成为管理员或编辑（其他用户的不同访问级别AWS 资源），如果我可以在我的 Web 应用程序中获取来自 Cognito 的用户列表（仅适用于经过身份验证的管理员）以及我如何允许他修改其他用户角色。

一些教程、文档或至少对我如何做到这一点的简短描述会对我有很大帮助。

可选：让用户不仅可以使用 facebook 注册，还可以使用电子邮件/密码注册，并具有相同的功能。

我不明白为什么我的用户池不会在我的 API 中验证方法。

我从简单的 petstore 示例开始，并为我的用户池添加了一个 Authorizer。测试按钮显示我拥有的 JWT 正在工作。我将该 Authorizer 应用于 POST 方法/pets，将 Authorization 添加为请求标头。

/pets当使用邮递员（或 curl）进行 POST 时，传递Authorization: Bearer <token>标头我总是得到响应{"message":"Unauthorized"}

我已经搞砸了创建一个链接到用户池的身份池，它具有一个经过身份验证的角色，该角色具有允许访问 API 网关的策略。我在用户池中创建了一个组来分配这个组。

一定有一些我错过了。我只想允许任何从 Cognito 提供有效 ID JWT 的用户访问 POST 方法。

政策：

在模拟器中运行良好。不过，我不能 100% 确定该政策是否应该发挥作用。我不清楚提供的用户池身份验证器将如何获取该策略，它不在我看到的任何文档中。我刚开始往墙上扔飞镖。

只是想听听有人使用用户池保护了 API 网关端点。

我目前正在使用 Cognito 用户池作为 API 网关端点的授权方，一直到 Lambda 函数。

我可以将集成请求传递给 Lambda 并根据自定义属性从 Lambda 内部安全地允许或拒绝吗？

映射：“管理员”：“$context.authorizer.claims['custom:administrator']”，

Lambda 处理程序：

需要明确的是，不是管理员的用户不应访问与管理员相同的 API 端点。

在此之前/之后我还需要做其他事情吗？

在用户登录 Cognito 后，我通过包含 Authorization: JWToken 标头，使用 Javascript 向 API Gateway 发送初始请求。

我需要在 Lambda 函数中验证令牌的签名吗？我认为 API Gateway 已经做到了。

在安全性方面有没有更好的方法来管理这个？

理想情况下，我希望能够根据用户池中的 GROUPS 限制对 API 端点的访问，但我认为这是不可能的。

Groups 文档讨论了通过 AWS Identity and Access Management 限制访问/权限。如果我沿着这条路走，我如何向 API Gateway 发出请求？我是否仍然使用 JWToken 授权标头，并使用 Cognito 作为 API 网关中的授权者？

I am building an Angular2 application that will utilize Cognito User Pool sign-in. I am able to successfully authenticate a user; however, have been unable to get the access key, secret key, and session token for the authenticated user.

To my understanding, I should be able to call AWS.config.credentials.get( <callback> ) as shown below, but TypeScript complains that the get method is not found (though I can see the method in type declarations for the aws-sdk module).

Any ideas?

我使用以下 AWS 技术构建无服务器后端：

• AWS api_gateway
• AWS 认知
• AWS 拉姆达

在 api_gateway 中，我创建了一个 Cognito 用户池授权器，并且我使用此授权器处理对后端的所有请求。

一切正常：当用户使用无效的 JWT 令牌发出请求时，服务器会做出相应的响应。有效的 JWT 令牌执行请求的 Lambda 函数。

问题：我无法检索identity信息，例如accessKey、accountId等cognitoIdentityId。所有这些变量都是null当我通过contextlambda 函数中的对象访问它们时

问题：我需要做什么才能获得identity变量？

我使用以下 AWS 技术构建无服务器应用程序：

• AWS 认知
• AWS 拉姆达
• AWS API 网关
• AWS IAM

来自客户端的所有请求（在 Angular2 中编程）都通过 API 网关。

我为登录用户创建了一个 IAM 角色：Cognito_MyApp_Auth。我使用 aCognito User Pool Authorizer来确保对我的 API 的所有调用都来自有效的登录用户。

问题：如何授予 Lambda 函数与登录用户相同的权限？

用例：登录用户只能在他自己的 S3 存储桶中创建、编辑或删除，因此授予 Lambda 对 S3 的完全权限不是一种选择。

亚马逊网络服务示例应用程序需要更改以使用新的谷歌登录 API 启用谷歌登录？这是 GoogleSignInProvider 代码 需要哪些更改才能使此代码适用于 Google 登录的 v2 API

我使用 AWS Cognito 构建无服务器后端以进行用户管理。

Cognito 使用cognitoId和sub来识别用户。

来自官方 awslabs 的这个项目使用 cognitoId 作为数据库表中的主键将数据链接到用户对象，但有关文档sub明确指出：

sub：经过身份验证的用户的 UUID。这与username.

问题：我应该使用什么作为主键，cognitoID或者sub？

我正在编写一个控制台 POC 来演示 AWS cognito 身份验证 - 应用程序池不是联合身份，作为我们的 API 网关身份验证机制（不在 AWS 中托管）。这是用 C# 编写的。

我已经成功创建了一个用户，并确认了他们；但现在我需要进行身份验证以检索我可以传递并在下游验证的 JWT。

以下代码

产生此异常：

AWSSDK.Core.dll 中出现“Amazon.CognitoIdentityProvider.Model.InvalidParameterException”类型的未处理异常

附加信息：缺少必需的参数 SRP_A

我在 dotnet sdk 中找不到生成 SRP 标头的方法，有人可以帮忙吗？

谢谢KH