在 Post 确认触发器中禁用用户
Disable User in Post Confirmation Trigger
我有一个不同类型的用户群(user_type 属性将定义类型)。我想在确认后禁用某种类型的用户。即流程:用户注册 --> 用户收到带有代码的确认电子邮件 --> 用户输入代码 --> post 调用确认触发器。
这是我的 post 确认触发器 lambda:
import logging
import boto3
logger = logging.getLogger()
logger.setLevel(logging.INFO)
cognito_client = boto3.client('cognito-idp')
def lambda_handler(event, context):
user_type = event['request']['userAttributes'].get('user_type', '')
logger.info(event)
if user_type == 'TYPE1':
response = cognito_client.admin_disable_user(
UserPoolId=event['userPoolId'],
Username=event['userName']
)
logger.info(response)
return event
此returns以下错误:
botocore.exceptions.ClientError: An error occurred (AccessDeniedException) when calling the AdminDisableUser operation: User: arn:aws:sts::<accound_id>:assumed-role/CognitoPostConfirmation-role-xxxxx/CognitoPostConfirmation is not authorized to perform: cognito-idp:AdminDisableUser on resource: arn:aws:cognito-idp:us-east-1:xxxxxx:userpool/us-east-1_xxxxxx
有没有办法禁止某种类型的用户使用触发器?我也尝试过使用预注册,但这里的问题是所有其他类型的用户都需要自动确认,这不是我想要的。我需要普通用户收到确认邮件和某种类型的用户收到确认然后被禁用或不被确认开始。
我非常感谢对此的任何帮助
谢谢,
每个 Lambda 函数都有一个执行角色,它承担这个角色以获得允许它进行它需要的所有 AWS API 调用的权限。
从错误消息来看,您的 Post 确认触发器的 Lambda 函数似乎有一个名为 CognitoPostConfirmation.
的执行角色
错误消息告诉您它没有正确的权限 运行 您正在使用的 cognito-idp:AdminDisableUser 方法来禁用您的某些用户。
因此,您应该转到 IAM 并向 CognitoPostConfirmation 角色添加策略,以允许您的 lambda 函数使用该 API 方法:
{
"Effect": "Allow",
"Action": "cognito-idp:AdminDisableUser",
"Resource": "arn:aws:cognito-idp:<your-aws-region>:<your-aws-account>:userpool/<your-userpool-id>"
}
我有一个不同类型的用户群(user_type 属性将定义类型)。我想在确认后禁用某种类型的用户。即流程:用户注册 --> 用户收到带有代码的确认电子邮件 --> 用户输入代码 --> post 调用确认触发器。
这是我的 post 确认触发器 lambda:
import logging
import boto3
logger = logging.getLogger()
logger.setLevel(logging.INFO)
cognito_client = boto3.client('cognito-idp')
def lambda_handler(event, context):
user_type = event['request']['userAttributes'].get('user_type', '')
logger.info(event)
if user_type == 'TYPE1':
response = cognito_client.admin_disable_user(
UserPoolId=event['userPoolId'],
Username=event['userName']
)
logger.info(response)
return event
此returns以下错误:
botocore.exceptions.ClientError: An error occurred (AccessDeniedException) when calling the AdminDisableUser operation: User: arn:aws:sts::<accound_id>:assumed-role/CognitoPostConfirmation-role-xxxxx/CognitoPostConfirmation is not authorized to perform: cognito-idp:AdminDisableUser on resource: arn:aws:cognito-idp:us-east-1:xxxxxx:userpool/us-east-1_xxxxxx
有没有办法禁止某种类型的用户使用触发器?我也尝试过使用预注册,但这里的问题是所有其他类型的用户都需要自动确认,这不是我想要的。我需要普通用户收到确认邮件和某种类型的用户收到确认然后被禁用或不被确认开始。
我非常感谢对此的任何帮助
谢谢,
每个 Lambda 函数都有一个执行角色,它承担这个角色以获得允许它进行它需要的所有 AWS API 调用的权限。
从错误消息来看,您的 Post 确认触发器的 Lambda 函数似乎有一个名为 CognitoPostConfirmation.
错误消息告诉您它没有正确的权限 运行 您正在使用的 cognito-idp:AdminDisableUser 方法来禁用您的某些用户。
因此,您应该转到 IAM 并向 CognitoPostConfirmation 角色添加策略,以允许您的 lambda 函数使用该 API 方法:
{
"Effect": "Allow",
"Action": "cognito-idp:AdminDisableUser",
"Resource": "arn:aws:cognito-idp:<your-aws-region>:<your-aws-account>:userpool/<your-userpool-id>"
}