认知身份服务

Question

对我来说，需要创建用户并获得使用其他服务(cloudWatch)的临时凭据？如何获得临时证书？如果我使用我的凭证，这是可行的，但这不安全。

import * as AWS from 'aws-sdk';

AWS.config.region = 'region';
var credentials = new AWS.CognitoIdentityCredentials({
    AccountId: 'accountId',
    RoleArn: 'role',
    IdentityPoolId: 'pool',
});

AWS.config.credentials = credentials;
AWS.config.update({accessKeyId: 'anything', secretAccessKey: 'anything'});
// AWS.config.update({accessKeyId: 'key', secretAccessKey: 'secretKey'});
var cognitoidentity = new AWS.CognitoIdentity({apiVersion: '2014-06-30'});
var cognitoidentityserviceprovider = new AWS.CognitoIdentityServiceProvider({apiVersion: '2016-04-18'});

get(){
var paramsCreateUser = {
      UserPoolId: 'pool',
      Username: 'name',
      UserAttributes: [{
        Name: 'email',
        Value: 'e@gmail.com'
      }]
    };

    cognitoidentityserviceprovider.adminCreateUser(paramsCreateUser, function(err, data) {
      if (err) console.log(err, err.stack);
      else     console.log(data);
    });
}

Answer 1

不要在Lambda中设置AWS凭据。您应该创建Lambda执行的IAM角色，该角色具有函数所需的权限。见加载Node.js Lambda函数的凭据。

创建AWS Lambda函数时，必须创建具有执行该函数的权限的特殊IAM角色。这个角色被称为执行角色。设置Lambda函数时，必须指定您创建的IAM角色作为相应的执行角色。 执行角色为Lambda函数提供了运行和调用其他web服务所需的凭据。因此，您不需要为在Lambda函数中编写的Node.js代码提供凭据。

1. 进入我的身体。创建一个新角色，让我们称其为“lambda- Create -cognito user”。
2. 将策略“AWSLambdaBasicExecutionRole”和“AmazonCognitoPowerUser”分配给角色
3. 进入Lambda控制台，并将您的函数设置为“lambda-create-cognito user”。

编辑:如果您需要访问另一个服务，只需向IAM角色添加所需的策略即可。例如，您可以添加策略'CloudWatchFullAccess‘。