Разрешения для функции AWS Lambda для составления списка пользователей

Question

У меня есть функция AWS Lambda, которая должна быть в состоянии выполнить этот код:

var cognitoidentityserviceprovider = new AWS.CognitoIdentityServiceProvider();

cognitoidentityserviceprovider.listUsers(params, function(err, data) {
  if (err) console.log(err, err.stack); // an error occurred
  else     console.log(data);           // successful response
  .... other useful code ....
});

Другими словами, он должен иметь возможность listUsers .

При установке для этого роли в IAM, какая политика мне нужна?

Answer 1

Если вы хотите перечислить пользователей в вашем пуле Cognito, вам нужно разрешить cognito-idp:ListUsers.Вы можете ограничить это действие определенным пулом пользователей следующим образом:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cognito-idp:ListUsers",
            "Resource": "arn:aws:cognito-idp:<region>:<account>:userpool/<userpoolid>"
        }
    ]
}

Ознакомьтесь с Клавишами действий, ресурсов и условий для пользовательских пулов Amazon Cognito .

Answer 2

Для получения дополнительной информации вы можете указать роль IAM cognito-identity:ListIdentities. https://iam.cloudonaut.io/reference/cognito-identity.html

В этой операции со списком могут быть зависимости.

Вы также можете сделать cognito-identity:* если вам нужна менее строгая политика для тестирования.