问题标签 [aws-userpools]

我正在使用 AWS Cognito 在我的 iOS APP (Swift) 中实现用户注册和登录。

当用户注册时，我想将该用户添加到已在我的 cognito 用户池中创建的指定用户池组中。

我已经尝试了下面的快速代码，但它似乎不起作用。

用户注册后，按[addToGroup]按钮加入名为[GroupA]的用户池组。

用户注册没有问题，我可以确认用户注册的信息。但是，用户名只是没有出现在 GroupA 中。

谁能告诉我我的代码有什么问题？谢谢你！！

我正在用 Swift 构建一个 SDK，它从手机收集数据并将其发送到 AWS。但是，会有很多“流”数据，用户不必登录任何东西，因为它会在应用程序中静默运行。

我当前的实现通过 API 调用发送数据并将这些数据发送到 API Gateway -> Kinesis Stream -> Kinesis Firehose -> S3。我认为直接写入 Kinesis Firehose 会更有效，但根据我的阅读，这需要 Cognito 和用户池。

有没有办法在没有 IAM 访问权限的情况下直接写入 Kinesis Firehose？或者，我是否应该为基于 uuid 的 Cognito 创建登录名和密码以及基于用户的某种散列密码，然后发送到 Kinesis Firehose？还是我应该继续使用我当前的实现？

我正在使用 AWS Cognito 创建一个 Web 应用程序来进行身份验证和授权。

我在网络上看到的关于身份池的大多数示例都是为了提供联合访问。

在我的网络应用程序中，我不需要联合访问。但我需要使用不同的 IAM 角色为用户提供不同的权限。例如，来自用户池A和组的用户Admins应该具有一个角色，该角色赋予对 DynamoDB 表的所有访问权限。

我的问题是，如果我不需要联合身份，我是否需要身份池来满足我的要求？

如何使用邮递员测试我的授权 API 端点？

要求：我想以授权用户的身份访问端点，因为映射到该 http 事件的 lambda 处理程序使用 获取用户的身份event.requestContext.identity.cognitoIdentityId，当使用我的访问密钥和密钥签署请求时，这些身份不存在。

我可以成功检索获取 ID、访问和刷新令牌

但是，当我将返回的承载令牌附加到 Postman 中的请求时，它不起作用。它返回消息：

授权标头中不是有效的键=值对（缺少等号）：'Bearer .*

这显然是因为Bearer预先添加到令牌中，而 Cognito 不喜欢这样（现在显然不是这种情况了？https: //forums.aws.amazon.com/thread.jspa?threadID=241945 ）。无论哪种方式，我仍然无法弄清楚这一点。

编辑

在 Authorization 中粘贴令牌并点击Preview Request后，请求标头更新为

我错过了什么？这里有点疯狂。谢谢

我创建了一个带有 AWS_IAM 身份验证的 api 网关。我需要访问该 api 网关，因此创建了一个用户，并向该用户提供 AmazonAPIGatewayInvokeFullAccess 策略。但我无法调用该 API。得到错误为

“用户 arn:aws:iam::######:user/username 无权执行：execute-api:Invoke on resource:arn:aws:execute-api:region:####:## ###/阶段/方法/路径”

当我去 aws 控制台并尝试模拟该策略时，它允许我调用该 api。

我试过https://www.youtube.com/watch?v=KXyATZctkmQ。但它不起作用。请让我知道是否有人经历过它并尝试过解决这个问题。谢谢

我正在尝试注册用户。我正在使用 AWS cognito 进行用户身份验证和授权。我在常规设置的属性部分添加了新的自定义属性“abc”。我在 AppClients 中启用了 abc 属性的读写。

现在我正在尝试使用 Postman 创建用户的 API。我能够创建新用户，但我面临的问题是，我无法在创建用户时添加自定义属性。要添加自定义属性，每次我必须在 cli 命令下运行。如何在创建用户本身时添加自定义属性。

我有两个 AWS 账户，比如说“master”和“regional”。我的“主”账户使用了 AWS Cognito，因此它创建了名为“主用户池”的用户池。即“master-user-pool”属于“master”AWS 账户。

现在，我希望“区域”AWS 账户的 Cognito 上的“主用户池”的所有用户都可用，以便“区域”账户可以向“主”账户中的用户发放令牌（cognito）。无论如何？

澄清一下，我不是指 API Gateway 的跨账户 cognito 授权者，因为它是针对 API 的。

我的情况与上面提到的不同。

我有一个带有 Cognito 用户池的多个 AWS 账户和另一个带有 Cognito 身份池的 AWS 账户。有没有办法将这些 Cognito 用户池添加到另一个 AWS 账户上的 Cognito 身份池？或者我可以通过 OpenID、SAML 或自定义协议连接它们吗？

我正在尝试在 API Gateway 上添加 AWS_IAM 授权，以便在所述用户池上获得授权的所有用户都可以在登录身份池后访问 API。

先感谢您。

当 cognito 向 IDP 发送 SAMLREQUEST 时，该请求没有 IDP 期望的所有信息。

SP 正在发送以下请求：

但是，通过手动测试，以下 SAMLREQUEST 有效：

唯一的区别是这一行：

因为 AWS 用户池身份联合配置仅需要 IDP 元数据才能与 IDPS 集成，所以我假设我需要调整元数据以更改 SAMLREQUEST 以包含 NamePolicyId 元素。

我一直在使用这个文档来尝试不同的元素： http ://www.datypic.com/sc/saml2/s-saml-schema-metadata-2.0.xsd.html

我也一直在使用这个网站来构建元数据：https ://www.samltool.com/idp_metadata.php

另外： https ://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-integrating-3rd-party-saml-providers.html

Idps 示例元数据：

我想知道如何调整 idps 元数据，以便 cognito 知道<saml2p:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity"/> 在 SAMLREQUEST 中发送它。

提前感谢您的任何帮助，我已经为此苦苦挣扎了一段时间。

我正在尝试从 javascript 将一些录音上传到 S3，但出现以下错误：

MalformedXML: The XML you provided was not well-formed or did not validate against our published schema

控制台日志：

JS代码：