AWS Cognito無効なIDプール構成

少し掘り下げた後、RoleArnとAccountIdを資格情報に追加する必要があることに気付きました。

そこにあるドキュメントのほとんどはこれで十分であると述べていますが：

AWS.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:xxxxx-a87e-46ed-9519-xxxxxxx',
});

これでは不十分でした。

私はこれをしなければなりませんでした：

AWS.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:xxxxx-a87e-46ed-9519-xxxxx',
    RoleArn: 'arn:aws:iam::xxxxx:role/Cognito_xxxxUsersUnauth_Role',
    AccountId: 'xxxxxxxxx', // your AWS account ID
});

IDプールのロールのARNについて言及する必要があります。

それを正しく述べている唯一のドキュメントは this one です。

間違ったもの：

• http://docs.aws.Amazon.com/AWSJavaScriptSDK/guide/browser-configuring.html

• https://mobile.awsblog.com/post/TxBVEDL5Z8JKAC/Use-Amazon-Cognito-in-your-website-for-simple-AWS-authentication

• https://blogs.aws.Amazon.com/javascript/post/TxTUNTVES4AL15/Authentication-in-the-Browser-with-Amazon-Cognito-and-Public-Identity-Providers

何か足りないかもしれませんが、これは確かに混乱します。

IDプール、認証ユーザーに割り当てられているロールの「信頼関係」セクションを確認します。 Cognitoプールへのアクセスを定義するポリシーがあることを確認してください。

要件ポリシーステートメントを取得する最も簡単な方法は、

1. プールを編集する
2. IDプールの新しいロールを作成します
3. IAMでこのロールを編集して、ポリシーステートメントをコピーします
4. これらの信頼関係を必要な既存の役割に追加します

私の場合、私はSAML IDプロバイダーを使用しています。 IAMロールポリシーのアクションは"Action": "sts:AssumeRoleWithSAML"である必要があります。しかし、これが例外の根本的な原因です。手動で"Action": "sts:AssumeRoleWithWebIdentity"に変更する必要があります。 Cognito IDプールによって作成されたロールは"Action": "sts:AssumeRoleWithWebIdentity"を使用することがわかりました。 IDプロバイダーのタイプはチェックしません。これはバグだと思います。

IDプールの「認証された役割」と「非認証の役割」に設定された役割の信頼関係を2回以上確認しましたが、それでもエラーが発生しました。 IDプールの構成全体を確認した後、

• 認証プロバイダー
  • コグニート
    • 認証された役割の選択

「トークンから役割を選択」を選択しましたが、間違って構成された役割は、ユーザーのコグニトグループにアタッチしたものでした。そのため、このロールの信頼関係を更新すると問題が解決しました。

これが誰かを助けることを願っています:)

このエラーが発生し、私の問題は、カスタムCognitoDeveloperIdentityProviderのlogins（）関数からAWSTask（result：nil）を返していたため、ユーザーが認証されていないロールを引き継いでいることが判明しました。