Как и что я должен передать, чтобы получить значение для {cognito-identity.amazonaws.com:aud} на роль IAM?

Question

То, что я сделал до сих пор, - это Я вошел в систему с идентификатором Cognito, взамен я получаю 'токен сеанса' , который содержит 'aud' внутри него. Но пока я передаю токен через заголовки, он не распознается. Ошибка отправки,

       message: 'User: arn:aws:sts::4954355577:assumed-role/multi-test-application-dev-us-east-1-lambdaRole/multi-test-application-dev-list is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:4954355577:table/tenantTable',

Или это неправильный путь? Так что, если это неправильно, что и как я должен передать данные, чтобы получить aud внутри роли IAM для $ {cognito-identity.amazonaws.com:audcasts?

Answer 1

Мы не можем передать aud как глобальную переменную или переменную env. Как только мы получим учетные данные из пула идентификации, который является секретным токеном, идентификатором ключа доступа и токеном сеанса. Нам нужно создать экземпляр DynamodB, используя эти учетные данные. Поэтому всякий раз, когда мы используем DynamodB, Aud будет установлен в качестве идентификатора пула идентификаторов.