问题标签 [aws-userpools]

我正在尝试使用 AWS CDK 创建 AWS 用户池客户端。我正在使用 python 代码执行此操作。下面是我的代码-

我尝试了 allowedOAuthFlows 值的不同选项，如“TOKEN”、“token”、“CODE”、“Code”、“code”。仍然无法正常工作。对于上面的代码，我得到以下错误 -

我不知道这里出了什么问题。我将此链接称为 - https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cognito-userpoolclient.html#cfn-cognito-userpoolclient-allowedoauthflows

我正在尝试使用 AWS doc创建“ CfnUserPoolClient ”对象 - https://docs.aws.amazon.com/cdk/api/latest/python/aws_cdk.aws_cognito/CfnUserPoolClient.html

我已经创建了这样的“ CfnUserPool ”对象 -

要创建“ CfnUserPoolClient ”对象，我需要“ CfnUserPool ”对象的 ID。我正在使用下面的代码来创建“ CfnUserPoolClient ”对象-

我收到以下代码的错误 -

我认为“CfnUserPool”对象没有属性“user_pool_id”。我已经尝试过“id”来获取这样的用户池 id -

但我仍然遇到同样的错误，这次是“id”。

那么如何从 CfnUserPool 资源中获取 CfnUserPoolClient 的“user_pool_id”值？

我知道这听起来像是一个基本问题，但我还没有弄清楚该怎么做。

我们正在努力建立一个测试环境，用于筛选云工程师和大数据面试的候选人。

我们正在研究可能使用 Cloudformation 服务创建按需 AWS 环境，并测试用户是否能够在环境中执行特定任务，例如使用 boto3 创建 s3 存储桶、分配角色、创建安全组等。

但是一旦筛选完成，我们希望自动拆除之前创建的整个设置。

可能有多个考生同时参加考试。我们想要创建环境（可能包含其他用户不可见的 ec2 实例、s3 存储桶等）并在测试完成后拆除它们。

我们考虑使用 IAM 角色为每个候选人动态创建 IAM 用户，并自动创建堆栈并在测试完成后删除这些用户。

但是，我认为用户将能够看到其他用户创建的资源，这不是我们所期望的。

我们可以使用其他更好的方法来创建这些环境或实验室并为用户删除它们吗？诸如 ITversity 和 Qwiklabs 之类的东西。

登录用户应该有权访问和查看仅为他创建的资源。

请建议。

查询 1： 假设我创建了 10 个IAM roles使用和一个用户使用这些角色中的每一个。从创建的用户IAM role 1是否能够看到由创建的另一个用户创建的VPCs或EC2 instances或S3或任何其他资源IAM role 2？

资源之间会完全隔离IAM role吗？

或者AWS Organizations在这种情况下，服务之类的有多大帮助？

我使用https://docs.aws.amazon.com/cdk/api/latest/python/aws_cdk.aws_cognito/CfnUserPool.html aws 文档创建了“ CfnUserPool ”对象。

我想获取 UserPool 的“ Pool Id ”。它的 Id 值为 - “ us-east-1_4kXXXXXXX ”。我尝试了很多选项来使用 python 获取这个值，但没有奏效。

所以我获取了 UserPool 的“ Pool ARN ”值，因为它有 id 值。池 ARN 为 - “ arn:aws:cognito-idp:us-east-1:XXXXXXXXXXXX:userpool/us-east-1_4kXXXXXXX ” 您可以看到池 ARN 中有“us-east-1_4kXXXXXXX”子字符串。

我尝试使用以下代码从 Pool ARN 获取“us-east-1_4kXXXXXXX”值 -

我收到“IndexError：列表索引超出范围”错误。

我试图在控制台上打印这个 ARN 值，我得到了这个值 - ${Token[TOKEN.327]} 我不知道为什么它打印用户池 arn 值是令牌格式。我想每当我试图获取它时，它都是令牌格式，这就是为什么我不能用“/”分割它。当我们将 ARN 值传递给任何资源时，它会采用正确的格式或字符串格式，而不是令牌格式。但是如果我们试图操纵它，它会给出“IndexError: list index out of range”错误。因为它是令牌格式。

我正在使用无服务器框架来部署 AWS 资源（用户池、身份池、Dynamo 表）。我知道一旦创建了用户池（以及类似的 Dynamo 索引），您就不能对其进行更改。我想知道在不删除用户/数据的情况下更新这些类型的资源的最佳做法是什么？值得庆幸的是，无服务器在部署时发现了问题

属性不允许更新 - UserPoolName

但我听说有人通过不小心更新用户池来删除用户。

有什么建议么？

这里的文档说，您可以使用 cognito 发布的访问令牌或 idToken 连接 AWS API 网关。

我正在为我的一个 Angular 项目使用 amazon-cognito-identity-js。登录后，我会收到三个令牌，即。sdk存储到本地存储的accessToken、idToken和refreshToken。

在后续调用中使用 idToken 作为 Authorization 标头成功地为我提供了来自 API 网关集成方法的数据，而如果我使用 accessToken 我收到 401-Unauthorized 并且响应标头说： x-amzn-errortype: UnauthorizedException

访问令牌不能用于上述目的吗？我可以很好地使用 idToken，除了在 idToken 失效方面存在已知问题，即使在此处cognito.user.signOut解释之后或什globalSignOut至如此解释。

有人可以建议为什么访问令牌可能不起作用。

我正在尝试在 AWS 用户池中设置不同的用户组，并根据他们所属的组授予他们对 AWS 资源的访问权限我有两个选项。

在用户池中创建两个用户组，并将各自的角色与其关联。我可以使用 STS 担任角色并访问给定的 AWS 资源，例如这样。 https://aws.amazon.com/premiumsupport/knowledge-center/cognito-user-pool-group/

另一种选择是两个使用 Amazon 身份池的同一内部使用 STS。如果我使用身份池，我将获得什么优势，因为 sts 是免费的，并且身份池具有与之相关的价格。

我对解决它的正确方法应该是什么感到困惑？

从 AWS Cognito 文档：

https://aws.amazon.com/blogs/mobile/accessing-your-user-pools-using-the-amazon-cognito-identity-sdk-for-javascript/

但是我不知道哪个文件/在哪里/何时创建我的 userPool 实例。

在 app.component.ts 中这样做对我来说是有意义的，但我不确定这是否正确。

我也不明白我AWSCognito从哪里导入函数，我找不到合适的库来执行此操作。

感谢您的任何帮助。

我们可以更改 AWS Cognito 托管的 UI HTML 吗？我创建了自己的登录页面，我想将其用作登录功能的托管 UI。

我已尝试进行 CSS 自定义，但无法更改 AWS Cognito 托管 UI 的 HTML。我也尝试联系 AWS 支持团队，但没有得到任何回复。

感谢帮助？

我正在配置一个新的 Cognito 用户池。我有一个正在使用的经过验证的电子邮件地址，但是当我尝试创建用户池时，我收到以下错误，但没有提示哪个参数无效：

有任何想法吗？