我使用create_user_pool 创建新的 Cognito 用户池。我看到有一个SmsConfiguration 选项需要ExternalId。
如果您使用 Cognito 门户为您的用户池设置 MFA,则此外部 ID(看起来像 UUID)将用于自动生成的 IAM SMS-Role。
如果我想手动(使用 boto3 或 AWS CLI)创建用户池和 IAM SMS 角色,我在哪里可以找到/生成 ExternalId 的值?
【问题讨论】:
标签: amazon-web-services boto3 aws-cli aws-cognito aws-iam
没错,它是您在 IAM 角色中定义的 UUID。这是一个带有外部 ID 的示例 CloudFormation 模板 -
CognitoSMSRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "cognito-idp.amazonaws.com"
Action:
- "sts:AssumeRole"
Condition:
StringEquals:
"sts:ExternalId": 'this-is-my-external-id'
Path: "/"
CognitoSMSPolicy:
Type: "AWS::IAM::Policy"
Properties:
PolicyName: "CognitoSMSPolicy"
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Action:
- "sns:publish"
Resource:
- "*"
Roles:
- Ref: CognitoSMSRole
您还可以在控制台中找到外部 ID。
IAM -> 角色 -> 选择您的角色 -> 信任关系
【讨论】:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "this-is-my-external-id" } } } ] }
update-assume-role-policycommand