Как поменять роли IAM для AWS Cognito User, принадлежащих к нескольким группам User Pool? - PullRequest
Новая
       23

Как поменять роли IAM для AWS Cognito User, принадлежащих к нескольким группам User Pool?

1 голос
/ 12 февраля 2020

У меня есть веб-приложение, созданное с AWS Amplify и Cognito, используемые для аутентификации / авторизации. Cognito User Pools является поставщиком удостоверений.

Пользователи группируются в группы Cognito User Pools в зависимости от того, какие разрешения они должны иметь.

Я хочу, чтобы некоторые пользователи входили в несколько групп (например, администраторы), у которых должна быть сумма разрешений этих групп. Но так как пользователь может взять на себя только одну роль, мне нужно иметь возможность менять роли в приложении.

Я попытался выполнить это с помощью getCredentialsForIdentity: 

  const cognito_identity = new AWS.CognitoIdentity({ apiVersion: '2014-06-30', region: 'eu-central-1' });
  var params = {
    IdentityId: 'some_identity',
    CustomRoleArn: 'arn:aws:iam::<account_id>:role/editors',
  };
  cognito_identity.getCredentialsForIdentity(params, function(err, data) {
    if (err) console.log(err, err.stack);
    else     console.log(data);
  });

При вызове вышеуказанного кода происходит сбой с NotAuthorizedException: доступ к идентификатору 'some_identity' запрещен.

Что мне нужно сделать, чтобы это работало?

1 Ответ

0 голосов
/ 12 февраля 2020

После включения свойства Logins в параметры для getCredentialsForIdentity оно заработало: 

async function switchRoles(region, identityId, roleArn, cognitoArn) {
  const user = await Auth.currentUserPoolUser();
  const cognitoidentity = new AWS.CognitoIdentity({ apiVersion: '2014-06-30', region });
  const params = {
    IdentityId: identityId,
    CustomRoleArn: roleArn,
    Logins: {
      [cognitoArn]: user
        .getSignInUserSession()
        .getIdToken()
        .getJwtToken(),
    },
  };
  return cognitoidentity
    .getCredentialsForIdentity(params)
    .promise()
    .then(data => {
      return {
        accessKeyId: data.Credentials.AccessKeyId,
        sessionToken: data.Credentials.SessionToken,
        secretAccessKey: data.Credentials.SecretKey,
        expireTime: data.Credentials.Expiration,
        expired: false,
      };
    })
    .catch(err => {
      console.log(err, err.stack);
      return null;
    });
}
...