IAM角色vs. IAM用户无法调用Cognito ListUsers
IAM角色与IAM用户无法调用Cognito ListUsers的问题,主要涉及到权限配置与API调用的正确性。以下是相关介绍:
基础概念
- IAM角色:IAM角色是一种IAM凭证,它允许其他AWS账户的用户扮演该角色,从而获得对AWS资源的访问权限。角色通常被分配给AWS服务或其他AWS账户,以提供细粒度的访问控制。
- IAM用户:IAM用户是AWS账户的成员,拥有自己的凭证(用户名和密码或访问密钥ID和秘密访问密钥)。用户可以直接使用自己的凭证访问AWS资源。
相关优势
- IAM角色:提供更好的安全性和细粒度的访问控制,因为角色可以分配给多个用户或服务。
- IAM用户:适合需要直接访问AWS管理控制台或进行开发工作的用户。
应用场景
- IAM角色:适用于需要跨多个AWS账户访问资源的场景,如跨账户的数据访问或服务间通信。
- IAM用户:适用于需要直接操作AWS管理控制台的用户或开发环境。
无法调用Cognito ListUsers的原因
当IAM角色或用户无法调用Cognito的ListUsers API时,通常是因为没有正确配置IAM策略以允许访问Cognito相关的操作。例如,可能需要在IAM策略中添加对CognitoIdentityProvider服务的访问权限。
解决方法
确保在IAM策略中正确配置了对CognitoIdentityProvider服务的访问权限。例如,以下策略允许角色或用户列出用户池中的用户:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cognito-idp:ListUsers"
],
"Resource": "arn:aws:cognito-idp:REGION:ACCOUNT_ID:userpool/USER_POOL_ID"
}
]
}请根据实际情况替换REGION、ACCOUNT_ID和USER_POOL_ID。
通过正确配置IAM策略,您可以确保IAM角色或用户能够成功调用Cognito的ListUsers API。
相关·内容
我正在处理一个无服务器项目,当我调用local并使用我的~/.aws/credentials中的凭据时,这些凭据对应于具有管理员策略的用户,代码可以正确执行,而不会出现任何安全问题。如果我硬编码我的管理员用户的凭据并在lambda中运行它,它会工作得很好。因此,当向ListUsers调用Cognito时,lambda承担的我的IAM角色显然存在一些问题。我已经给了IAM角色一个管理员策略,仍然给出
浏览 10提问于2020-10-30得票数 0
2回答
cognitoidentityserviceprovider = new AWS.CognitoIdentityServiceProvider();
.... other useful code ....换句话说,它应该能够listUsers当在IAM中为之设定角色时,我需要什么样的政策?
浏览 0提问于2019-06-05得票数 3
在Lambda测试期间,当我试图获取我的用户池中的所有用户时,我遇到了以下错误。"errorType": "AccessDeniedException",
"errorMessage": "User: arn:aws:iam::123456789:user/xxxxx is notauthorized to perform: cognito-idp:ListUsers on resource: arn:aws:cogn
浏览 19提问于2020-10-23得票数 2
本教程使用AWS Cognito进行用户身份验证,但我的应用程序已经有了自己的内部身份验证方法。因此,我希望在没有身份验证的情况下实现映射(来自Cognito)。Check assigned IAM roles for this pool. ? 我已经尝试了来自stackoverflow post here的所有解决方案,但都没有效果。虽然我无法访问,但每当我刷新页面时,我的AWS Cognito控制台都会添加一个用户计数,如下图所示。 ?
浏览 41提问于2021-07-29得票数 1
在Lambda测试期间,当我试图在我的用户池中获取所有用户时,我遇到了以下错误。"errorType": "AccessDeniedException",
"errorMessage": "User: arn:aws:iam::123456789:user/xxxxx is notauthorized to perform: cognito-idp:ListUsers on resource: arn:aws:cogn
浏览 1提问于2020-10-26得票数 6
回答已采纳
1回答
是否可以在认知用户池( iam-role1 )中承担与认知用户cognito-user1的认知群cognito-group1链接的IAM角色科尼图用户池cognito-user-pool1cognito-group1Cognito cognito-user1用户cognito-user1属于cognito-gro
浏览 7提问于2020-07-18得票数 3
'CustomAttributes' => $attributes, } 如何设置addCustomAttributes的帐户ID或配置文件/角色
浏览 14提问于2021-08-04得票数 0
我想给用户有限的访问权限,我该怎么做呢?或者,我如何创建签名的url,如果可能的API访问,谁有任何想法?我可以从API网关控制台禁用,但我可以为用户提供时间或有限的访问权限吗?
浏览 0提问于2015-08-14得票数 0
2回答
通过Lambda禁用认知用户
、、、、
这是我第一次尝试在项目中使用AWS Cognito。一切都很好,直到我需要管理具有管理员权限的用户,对他们执行“禁用/启用”之类的操作。我的计划是将此逻辑转移到一个lambda函数中,该函数可通过API Gateway调用访问,其中包含一个授权器层。角色定义(使用CDK): const userPoolRole = new iam.Role( "user-pool-role", roleName);
userPoolR
浏览 14提问于2020-06-11得票数 0
回答已采纳
:*", "cognito-sync:*", "arn:aws:iam::*:role/aws-service-role/cognito-idp.amazonaws.com/
浏览 7提问于2021-06-18得票数 0
回答已采纳
我想为我的应用程序用户创建AWS IAM角色。1个用户拥有1个IAM角色,用户数可以是100,000个用户。 我这样做是为了在用户从我的应用程序注销时撤销STS临时凭据。在AWS中创建如此多的角色是否存在某些限制?
浏览 32提问于2020-04-16得票数 0
Lambda是通过配置为使用AWS_IAM授权的API Gateway REST API公开/调用的。我的Cognito用户池当前根据各种信息分配不同的IAM角色,最重要的是,IAM角色限制对DynamoDB上与用户的Cognito身份ID匹配的特定行的访问。这些角色按预期工作,当直接查询DynamoDB时,这些角色只允许用户读取他们自己的行。
但是,在
浏览 12提问于2019-07-29得票数 2
回答已采纳
1回答
我一直试图创建一个terraform脚本,用于创建一个具有链接auth和unauth角色的认知用户池和身份池,但我找不到这样做的好例子。以下是我到目前为止所拥有的:resource "aws_cognito_user_pool" "pool" { server_side_token_check = true }
浏览 0提问于2018-01-25得票数 11
回答已采纳
目前,我正在对Linkedin用户进行身份验证,并在Lambda中调用GetOpenIdTokenForDeveloperIdentity和GetCredentialsForIdentity,然后使用Auth.federatedSignIn()登录这些用户,我就能够检索到当前通过身份验证的用户和凭据。但是,使用Amplify的APIClass或AWSAppSyncClient,我无法让这些用户通过AppSync进行GraphQL调用,它被配置为授权Cognito
浏览 11提问于2019-09-18得票数 3
回答已采纳
1回答
Cognito授权程序组
、、、
我在Angular中有一个单页应用程序,一个带有Lambda的API网关用于后端服务,Cognito用户池用于身份验证和授权。
对某些API终结点的访问取决于用户角色。您可以使用(执行API invoke for the Api Gateway资源)策略将IAM角色附加到组。但是,在调用API之前,使用Cognito作为API Gateway的Authorizer仅检查用户是否经过了身份验证(通过在Authorization头中传递I
浏览 0提问于2021-04-13得票数 0
我的第一种方法是对整个应用程序使用一个Cognito用户池和一个身份池。
目前,我们每个租户有两种用户(管理员和普通用户),所以我想为他们分配不同的IAM角色。我们的想法是为每个用户角色创建一个Cognito Group,并将它们与各自的IAM角色相关联。它工作正常。当使用组进行角色分配时,我将身份池身份验证的角色选择配置为“Choose role from to
浏览 15提问于2017-12-05得票数 13
回答已采纳
3回答
我想使用Cognito和S3创建一个仅限成员的页面。我能够注册和登录Cognito,但我不知道只有登录用户才能访问的S3设置。我希望S3只能由在创建Cognito期间创建的经过身份验证的角色访问。
浏览 0提问于2020-03-22得票数 0
2回答
对于应用程序接口网关,我使用aws授权程序,并为每个对应用程序接口网关的请求提供aws_iam凭据。现在,当我的lambda被执行时,我假设分配给我的认知用户的角色将被使用,并且我将有权访问所需的资源。但是似乎lambda执行角色仍然需要拥有执行这些资源的权限。
浏览 0提问于2018-05-17得票数 0
2回答
我正在学习如何使用无服务器框架,我正在创建一些特定功能将承担的角色,但cloudformation抛出了一个错误,表明: An error occurred: LambdaAdminRole - Unknown在无服务器中定义资源的方式如下所示: resources: LambdaAdminRole: Properties:ListUsersInGroup
- cognito-idp:Lis
浏览 23提问于2019-05-18得票数 1
回答已采纳
云服务器
ICP备案
对象存储
腾讯会议
云直播
腾讯云开发者
