カスタム SMS 送信者の Lambda トリガー

ユーザープールにカスタム SMS 送信者トリガーを割り当てると、ユーザーイベントで SMS メッセージの送信が必要になった時点で、Amazon Cognito がデフォルトの動作ではなく Lambda 関数を呼び出します。カスタム送信者トリガーを使用すると、 AWS Lambda 選択したメソッドとプロバイダーを通じて SMS 通知をユーザーに送信できます。関数のカスタムコードは、すべての SMS メッセージを、ユーザープールから処理して配信する必要があります。

注記

現在、Amazon Cognito コンソールでカスタム送信者のトリガーを割り当てることはできません。CreateUserPool または UpdateUserPool API リクエストで LambdaConfig パラメータを使用してトリガーを割り当てることができます。

このトリガーをセットアップするには、以下のステップを実行します。

1. AWS Key Management Service () で対称暗号化キーを作成しますAWS KMS。Amazon Cognito は、シークレット (一時的なパスワード、認可コード、および確認コード) を生成し、この KMS キーを使用してシークレットを暗号化します。次に、Lambda 関数で Decrypt  API オペレーションを使用して、シークレットを復号化し、プレーンテキストでユーザーに送信できます。AWS Encryption SDK は、 関数での AWS KMS オペレーションに役立つツールです。

2. カスタム送信者のトリガーとして割り当てる Lambda 関数を作成します。Lambda 関数ロールに対して、KMS キーへの kms:Decrypt アクセス許可を付与します。

3. Amazon Cognito サービスプリンシパルに、Lambda 関数を呼び出すための cognito-idp.amazonaws.com へのアクセス権を付与します。

4. カスタム配信メソッドまたはサードパーティープロバイダーにメッセージを転送する Lambda 関数コードを書き込みます。ユーザーの認証コードまたは確認コードを配信するには、Base64 がリクエストで code パラメーターの値をデコードして復号化します。このオペレーションでは、メッセージに含める必要があるプレーンテキストのコードまたはパスワードが生成されます。

5. カスタム送信者 Lambda トリガーを使用するようにユーザープールを更新します。カスタム送信者トリガーを使用してユーザープールを更新または作成する IAM プリンシパルには、KMS キーの許可を作成する権限が必要です。以下の LambdaConfig スニペットは、SMS とメール送信者関数を割り当てます。

   "LambdaConfig": {
      "KMSKeyID": "arn:aws:kms:us-east-1:123456789012:key/a6c4f8e2-0c45-47db-925f-87854bc9e357",
      "CustomEmailSender": {
         "LambdaArn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
         "LambdaVersion": "V1_0"
      },
      "CustomSMSSender": {
         "LambdaArn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
         "LambdaVersion": "V1_0"
      }

カスタム SMS 送信者の Lambda トリガーパラメータ

Amazon Cognito がこの Lambda 関数に渡すリクエストは、以下のパラメータと Amazon Cognito がすべてのリクエストに追加する共通パラメータを組み合わせたものです。

JSON

{
    "request": {
        "type": "customSMSSenderRequestV1",
        "code": "string",
        "clientMetadata": {
            "string": "string",
             . . .
            },
        "userAttributes": {
            "string": "string",
            . . .
         }
}

カスタム SMS 送信者のリクエストパラメータ

type

リクエストバージョン。カスタム SMS 送信者イベントの場合、この文字列の値は常に customSMSSenderRequestV1 です。

コード

関数が復号してユーザーに送信できる暗号化されたコード。

clientMetadata

カスタム SMS 送信者 Lambda 関数トリガーへのカスタム入力として提供できる 1 つ以上のキーバリューペア このデータを Lambda 関数に渡すには、 AdminRespondToAuthChallengeおよび RespondToAuthChallenge API アクションで ClientMetadata パラメータを使用できます。Amazon Cognito は、認証後関数に渡すリクエストに、 AdminInitiateAuth および InitiateAuth API オペレーションの ClientMetadata パラメータからのデータを含めません。

userAttributes

ユーザー属性を表す 1 つ以上のキーバリューペア。

カスタム SMS 送信者の応答パラメータ

Amazon Cognito は、レスポンスに追加の返品情報を期待しません。関数では、API オペレーションを使用してリソースをクエリして変更したり、イベントメタデータを外部システムに記録することができます。

カスタム SMS 送信者の Lambda トリガーのアクティブ化

カスタムロジックを使用してユーザープールの SMS メッセージを送信するカスタム SMS 送信者トリガーを設定できます。以下の手順では、カスタム SMS トリガー、カスタム E メールトリガー、またはその両方をユーザープールに割り当てます。カスタム SMS 送信者トリガーを追加すると、Amazon Cognito は常に Amazon Simple Notification Service で SMS メッセージを送信するデフォルトの動作ではなく、電話番号やワンタイムコードなどのユーザー属性を Lambda 関数に送信します。

重要

Amazon Cognito は、ユーザーの一時パスワードで < (<) および > (>) などの予約文字を HTML エスケープします。これらの文字は、Amazon Cognito がカスタム E メール送信者機能に送信する一時パスワードには表示される場合がありますが、一時的な確認コードには表示されません。一時パスワードを送信するには、Lambda 関数がパスワードを復号した後、ユーザーにメッセージを送信する前に、これらの文字をアンエスケープする必要があります。

1. AWS KMSで暗号化キーを作成します。このキーは、Amazon Cognito が生成する一時パスワードと認可コードを暗号化します。次に、カスタム送信者の Lambda 関数でこれらのシークレットを復号して、プレーンテキストでユーザーに送信できます。

2. Amazon Cognito サービスプリンシパルに KMS キーでコードを暗号化するための cognito-idp.amazonaws.com アクセス権を付与します。

   次のリソースベースのポリシーを KMS キーに適用します。

   {
       "Version": "2012-10-17",
       "Statement": [{
           "Effect": "Allow",
           "Principal": {
               "Service": "cognito-idp.amazonaws.com"
           },
           "Action": "kms:CreateGrant",
           "Resource": "arn:aws:kms:us-west-2:111222333444:key/1example-2222-3333-4444-999example",
           "Condition": {
               "StringEquals": {
                   "aws:SourceAccount": "111222333444"
               },
               "ArnLike": {
                   "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111222333444:userpool/us-east-1_EXAMPLE"
               }
           }
       }]
   }    

3. カスタム送信者トリガーのための Lambda 関数を作成します。Amazon Cognito は AWS 暗号化 SDK を使用してシークレット (一時パスワードまたはユーザーの API リクエストを承認するコード) を暗号化します。

   1. 少なくとも KMS キーに対する kms:Decrypt アクセス許可を持つ IAM ロールを Lambda 関数に割り当てます。

4. Amazon Cognito サービスプリンシパルに、Lambda 関数を呼び出すための cognito-idp.amazonaws.com へのアクセス権を付与します。

   次の AWS CLI コマンドは、Lambda 関数を呼び出すアクセス許可を Amazon Cognito に付与します。

   
           aws lambda add-permission --function-name lambda_arn --statement-id "CognitoLambdaInvokeAccess" --action lambda:InvokeFunction --principal cognito-idp.amazonaws.com
       

5. メッセージを送信する Lambda 関数コードを作成します。Amazon Cognito は AWS Encryption SDK 、Amazon Cognito がシークレットをカスタム送信者 Lambda 関数に送信する前に、 を使用してシークレットを暗号化します。関数内でシークレットを復号し、関連するメタデータを処理します。次に、メッセージを配信するカスタム API に、コード、独自のカスタムメッセージ、宛先の電話番号を送信します。

6. を Lambda 関数 AWS Encryption SDK に追加します。詳細については、「AWS Encryption SDK programming languages」(AWS Encryption SDK のプログラミング言語) を参照してください。Lambda パッケージを更新するには、次のステップを完了します。

   1. Lambda 関数を.zip ファイルとして AWS Management Consoleにエクスポートします。

   2. 関数を開き、 を追加します AWS Encryption SDK。詳細とダウンロードリンクについては、AWS Encryption SDK デベロッパーガイドの「AWS Encryption SDK プログラミング言語」を参照してください。

   3. SDK の依存関係を使用して関数を ZIP 圧縮し、その関数を Lambda にアップロードします。詳細については、AWS Lambda デベロッパーガイドの「Lambda 関数の .zip ファイルアーカイブとしてのデプロイ」を参照してください。

7. ユーザープールを更新してカスタム送信者の Lambda トリガーを追加します。UpdateUserPool API リクエストに CustomSMSSender または CustomEmailSender パラメータを含めます。API UpdateUserPool オペレーションには、ユーザープールのすべてのパラメータと、変更するパラメータが必要です。関連するすべてのパラメータを指定しない場合、Amazon Cognito は不足しているパラメータの値をデフォルトに設定します。次の例に示すように、ユーザープールに追加または保持するすべての Lambda 関数のエントリを含めます。詳細については、「ユーザープール設定の更新」を参照してください。

   
       #Send this parameter in an 'aws cognito-idp update-user-pool' CLI command, including any existing 
       #user pool configurations.
                 
         --lambda-config "PreSignUp=lambda-arn, \
                          CustomSMSSender={LambdaVersion=V1_0,LambdaArn=lambda-arn}, \
                          CustomEmailSender={LambdaVersion=V1_0,LambdaArn=lambda-arn}, \
                          KMSKeyID=key-id"        
    

を使用してカスタム送信者の Lambda トリガーを削除するにはupdate-user-pool AWS CLI、 から CustomSMSSenderまたは CustomEmailSenderパラメータを省略し--lambda-config、ユーザープールで使用する他のすべてのトリガーを含めます。

UpdateUserPool API リクエストを使用してカスタム送信者の Lambda トリガーを削除するには、ユーザープール設定の残りを含むリクエスト本文から CustomSMSSender または CustomEmailSender パラメータを省略します。

コード例

次の Node.js 例は、カスタム SMS 送信者 Lambda 関数で SMS メッセージイベントを処理します。この例では、関数に 2 つの環境変数が定義されていることを前提としています。

KEY_ALIAS

ユーザーのコードを暗号化および復号化するために使用する KMS キーのエイリアス。

KEY_ARN

ユーザーのコードを暗号化および復号化するために使用する KMS キーの Amazon リソースネーム (ARN)。

const AWS = require('aws-sdk');
const b64 = require('base64-js');
const encryptionSdk = require('@aws-crypto/client-node');
//Configure the encryption SDK client with the KMS key from the environment variables.  
const { encrypt, decrypt } = encryptionSdk.buildClient(encryptionSdk.CommitmentPolicy.REQUIRE_ENCRYPT_ALLOW_DECRYPT);
const generatorKeyId = process.env.KEY_ALIAS;
const keyIds = [ process.env.KEY_ARN ];
const keyring = new encryptionSdk.KmsKeyringNode({ generatorKeyId, keyIds })
exports.handler = async (event) => {
	//Decrypt the secret code using encryption SDK.
	let plainTextCode;
	if(event.request.code){
		const { plaintext, messageHeader } = await decrypt(keyring, b64.toByteArray(event.request.code));
		plainTextCode = plaintext
	}
	//PlainTextCode now contains the decrypted secret.
	if(event.triggerSource == 'CustomSMSSender_SignUp'){
		//Send an SMS message to your user via a custom provider.
		//Include the temporary password in the message.
	}
	else if(event.triggerSource == 'CustomSMSSender_ResendCode'){
	}
	else if(event.triggerSource == 'CustomSMSSender_ForgotPassword'){
	}
	else if(event.triggerSource == 'CustomSMSSender_UpdateUserAttribute'){
	}
	else if(event.triggerSource == 'CustomSMSSender_VerifyUserAttribute'){
	}
	else if(event.triggerSource == 'CustomSMSSender_AdminCreateUser'){
	}
	else if(event.triggerSource == 'CustomSMSSender_AccountTakeOverNotification'){
	}
	return;
};

カスタム SMS 送信者関数で SMS メッセージ機能を評価する

カスタム SMS 送信者 Lambda 関数は、ユーザープールが送信する SMS メッセージを受け入れ、関数はカスタムロジックに基づいてコンテンツを配信します。Amazon Cognito は関数に カスタム SMS 送信者の Lambda トリガーパラメータ を送信します。この情報を使用して、関数はユーザーが望むことを実行できます。例えば、Amazon Simple Notification Service (Amazon SNS) トピックにコードを送信できます。Amazon SNS トピックのサブスクライバーは、SMS メッセージ、HTTPS エンドポイント、または E メールアドレスです。

カスタム SMS 送信者 Lambda 関数を使用して Amazon Cognito SMS メッセージングのテスト環境を作成するには、 の aws-samples ライブラリ GitHubamazon-cognito-user-pooldevelopment-and-testing-withsms-redirected-to-emailの -- を参照してください。リポジトリには、新しいユーザープールを作成したり、既に持っているユーザープールを操作できる AWS CloudFormation テンプレートが含まれています。これらのテンプレートでは、Lambda 関数と Amazon SNS トピックが作成されます。テンプレートがカスタム SMS 送信者トリガーとして割り当てる Lambda 関数は、SMS メッセージを Amazon SNS トピックのサブスクライバーにリダイレクトします。

このソリューションをユーザープールにデプロイすると、Amazon Cognito が通常送信するすべてのメッセージが SMS メッセージングを介して送信され、代わりに Lambda 関数が中央の E メールアドレスに送信します。このソリューションを使用して、SMS メッセージをカスタマイズおよびプレビューし、Amazon Cognito が SMS メッセージを送信する原因となるユーザープールイベントをテストします。テストが完了したら、 CloudFormation スタックをロールバックするか、ユーザープールからカスタム SMS 送信者関数の割り当てを削除します。

重要

amazon-cognito-user-pool-development-and-testing-with-sms-redirected-to-email のテンプレートを使用して本番環境を構築しないでください。ソリューション内のカスタム SMS 送信者 Lambda 関数は SMS メッセージをシミュレートしますが、Lambda 関数はそれらすべてを単一の中央の E メールアドレスに送信します。本番環境の Amazon Cognito ユーザープールで SMS メッセージを送信する前に、Amazon Cognito ユーザープール用の SMS メッセージ設定 に示す要件を満たす必要があります。

カスタム SMS 送信者の Lambda トリガーのソース

以下の表には、Lambda コード内のカスタム SMS トリガーのソースに対するトリガーイベントが記載されています。

TriggerSource value	イベント
CustomSMSSender_SignUp	ユーザーがサインアップすると、Amazon Cognito がウェルカムメッセージを送信します。
CustomSMSSender_ForgotPassword	ユーザーがパスワードをリセットするコードを要求します。
CustomSMSSender_ResendCode	ユーザーが登録を確認するための新しいコードをリクエストします。
CustomSMSSender_VerifyUserAttribute	ユーザーが新しい E メールアドレスまたは電話番号の属性を作成すると、Amazon Cognito は属性を検証するコードを送信します。
CustomSMSSender_UpdateUserAttribute	ユーザーが E メールアドレスまたは電話番号の属性を更新すると、Amazon Cognito は属性を検証するためのコードを送信します。
CustomSMSSender_Authentication	ユーザーが SMS 多要素認証 (MFA) を使用して設定されたユーザーがサインインします。
CustomSMSSender_AdminCreateUser	ユーザープールに新しいユーザーを作成すると、Amazon Cognito から一時パスワードが送信されます。