CognitoIDプールを使った独自認証、認証後STSを使った一時クレデンシャルの返却まで

-
CognitoIDプールを使った独自認証、認証後STSを使った一時クレデンシャルの返却まで:


概要

AWS公式のID プール (フェデレーティッドアイデンティティ) の認証フロー開発者が認証した ID の認証フロー基本的な認証フロー をやります。

拡張認証フロー の方がほとんどのお客様にとって、正しい選択だと書いてありますが、何か上手くいかなかったのでとりあえず基本の方やります。。


環境

  • 公式フローだと、AssumeRoleWithWebIdentity はクライアントからやることになっていますが、面倒くさいので、Lambdaの中で完結させます。
  • 独自認証の認証自体はやりません。

    ※認証できているという前提で、GetOpenIdTokenForDeveloperIdentity からやります。

     実際には GetOpenIdTokenForDeveloperIdentity の前に独自認証の処理が必要です。


準備


CognitoIDプールを作成する

  1. Cognitoの"フェデレーティッドアイデンティティ"のページを開く
  2. "新しい ID プールの作成"ボタンを押す
  3. ↓にチェックいれて(それ以外は適当でOK(認証しないので))、"プールの作成"
    image.png
  4. 認証プロバイダを下記で設定 ※開発者プロバイダの名前は任意で良い
    image.png
  5. あとはとにかく次へ行ってCognitoIDプールが作成する。


Lambdaの実装

下記のコードをLambdaにコピペしてください。

Lambda
import json 
import boto3 
 
def lambda_handler(event, context): 
 
    # 事前にここに独自認証の処理を行う(要件に合わせて自分で実装) 
 
    client = boto3.client('cognito-identity') 
    response = \ 
        client.get_open_id_token_for_developer_identity(IdentityPoolId='ap-northeast-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx', # プールID の IDプールのID 
        Logins={'login.mycompany.myapp': 'test_user'}, 
        # { 認証プロバイダ > カスタム > 開発者プロバイダーの名前 で登録した開発プロバイダーの名前: 独自認証したユーザID } 
    ) 
 
    client2 = boto3.client('sts') 
    ret = client2.assume_role_with_web_identity( 
        RoleArn='arn:aws:iam::xxxxxxxxxxxx:role/service-role/lambda_role', 
        RoleSessionName='boto', 
        WebIdentityToken=response['Token'], 
    ) 
    print(f"assumeRoleWithWebIdentity:{ret}") 
 
    return {'statusCode': 200, 'body': json.dumps('Hello from Lambda!')}


実際にクレデンシャルを発行してみる

Lambdaを実行させるだけです。

ログに下記が表示されます。

  • AccessKey
  • SceretAccessKey
  • SessionToken


注意事項


一時クレデンシャルを使ったリクエストの注意

一時クレデンシャルを使ったリクエストの注意


STSの実行権限付与

Lambdaを実行しているロールにSTSの権限を付与する必要があるので、該当ロールの
"信頼関係" > "信頼関係の編集"

で表示されるポリシーの中身に注意すること

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
        "Service": "lambda.amazonaws.com", 
        "Federated": "cognito-identity.amazonaws.com" // ここ大事 
      }, 
      "Action": [ 
        "sts:AssumeRole", 
        "sts:AssumeRoleWithWebIdentity" // ここ大事 
      ] 
    } 
  ] 
}


参考


関連

コメント

コメントを投稿

このブログの人気の投稿

投稿時間:2021-06-17 05:05:34 RSSフィード2021-06-17 05:00 分まとめ(1274件)

-
カテゴリー等 サイト名等 記事タイトル・トレンドワード等 リンクURL 頻出ワード・要約等/検索ボリューム 登録日 IT 気になる、記になる… 「iOS 15」の新機能の一部は「iPhone XS」以降でしか利用出来ないものも https://taisy0.com/2021/06/15/141888.html tomac 2021-06-15 13:11:47 IT ITmedia 総合記事一覧 [ITmedia Mobile] ソースネクストの「ポケトーク」に新機能 グループ翻訳とWeb会議への字幕付与に対応 https://www.itmedia.co.jp/mobile/articles/2106/15/news164.html itmediamobile 2021-06-15 22:10:00 AWS AWS Architecture Blog Field Notes: Benchmark
続きを読む

投稿時間:2021-06-20 02:06:12 RSSフィード2021-06-20 02:00 分まとめ(3871件)

-
カテゴリー等 サイト名等 記事タイトル・トレンドワード等 リンクURL 頻出ワード・要約等/検索ボリューム 登録日 IT 気になる、記になる… 「iOS 15」の新機能の一部は「iPhone XS」以降でしか利用出来ないものも https://taisy0.com/2021/06/15/141888.html tomac 2021-06-15 13:11:47 IT ITmedia 総合記事一覧 [ITmedia Mobile] ソースネクストの「ポケトーク」に新機能 グループ翻訳とWeb会議への字幕付与に対応 https://www.itmedia.co.jp/mobile/articles/2106/15/news164.html itmediamobile 2021-06-15 22:10:00 AWS AWS Architecture Blog Field Notes: Benchmark
続きを読む

投稿時間:2020-12-01 09:41:49 RSSフィード2020-12-01 09:00 分まとめ(69件)

-
カテゴリー等 サイト名等 記事タイトル・トレンドワード等 リンクURL 頻出ワード・要約等/検索ボリューム 登録日 IT ITmedia 総合記事一覧 [ITmedia News] M1 Mac、外部SSDはUSB 3.2 Gen 2よりTB3のベンチマーク結果 https://www.itmedia.co.jp/news/articles/2012/01/news052.html itmedianewsmmac 2020-12-01 08:40:00 IT ITmedia 総合記事一覧 [ITmedia エグゼクティブ] はやぶさ2、12月6日午前3時ごろ帰還 JAXA「現時点で完璧」 https://mag.executive.itmedia.co.jp/executive/articles/2012/01/news051.html itmedia 2020-12-01 08:18:00 IT ITmedia 総合記事一覧
続きを読む