사용자 지정 이메일 발신자 Lambda 트리거 파라미터 사용자 지정 이메일 발신자 Lambda 트리거 활성화 사용자 지정 이메일 발신자 트리거 소스

사용자 정의 이메일 발신자 Lambda 트리거

사용자 지정 이메일 발신자 트리거를 사용자 풀에 할당하면 Amazon Cognito가 사용자 이벤트로 인해 이메일 메시지를 전송해야 하는 경우 기본 동작 대신 Lambda 함수를 호출합니다. 사용자 지정 발신자 트리거를 사용하면 AWS Lambda 함수에서 선택한 방법 및 공급자를 통해 사용자에게 이메일 알림을 보낼 수 있습니다. 함수의 사용자 지정 코드는 사용자 풀의 모든 이메일 메시지를 처리하고 전달해야 합니다.

이 트리거는 사용자 풀이 이메일 메시지를 보내는 방식을 더 잘 제어하려는 시나리오를 제공합니다. Lambda 함수는 SES API Amazon 작업에 대한 호출을 사용자 지정할 수 있습니다 (예: 여러 개의 검증된 ID를 관리하거나 교차 식별을 관리하려는 경우). AWS 리전함수는 메시지를 다른 전송 매체 또는 타사 서비스로 리디렉션할 수도 있습니다.

참고

현재 Amazon Cognito 콘솔에서 사용자 지정 발신자 트리거를 할당할 수 없습니다. CreateUserPool또는 UpdateUserPool API 요청의 LambdaConfig 파라미터를 사용하여 트리거를 할당할 수 있습니다.

이 트리거를 설정하려면 다음 단계를 수행합니다.

AWS Key Management Service (AWS KMS) 에서 대칭 암호화 키를 생성합니다. Amazon Cognito는 임시 암호, 확인 코드 및 확인 코드와 같은 암호를 생성한 다음 이 키를 사용하여 암호를 암호화합니다. KMS 그런 다음 Lambda 함수의 암호 해독 API 작업을 사용하여 암호를 해독하고 일반 텍스트로 사용자에게 보낼 수 있습니다. 함수 작업에 AWS Encryption SDK유용한 도구입니다. AWS KMS
사용자 지정 발신자 트리거로 할당할 Lambda 함수를 생성합니다. KMS키에 대한 kms:Decrypt 권한을 Lambda 함수 역할에 부여하십시오.
Amazon Cognito 서비스 보안 주체 cognito-idp.amazonaws.com에 Lambda 함수를 호출할 수 있는 권한을 부여합니다.
사용자 지정 전송 방법 또는 서드 파티 공급자에게 메시지를 전달하는 Lambda 함수 코드를 작성합니다. 사용자의 검증 또는 확인 코드를 전달하기 위해 Base64는 요청의 code 파라미터 값을 디코딩하고 해독합니다. 이 작업을 수행하면 메시지에 포함해야 하는 일반 텍스트 코드 또는 암호가 생성됩니다.

사용자 지정 발신자 Lambda 트리거를 사용하도록 사용자 풀을 업데이트합니다. 사용자 지정 발신자 트리거로 사용자 풀을 업데이트하거나 생성하는 IAM 보안 주체는 키에 대한 권한 부여를 생성할 권한이 있어야 합니다. KMS 다음 LambdaConfig 스니펫은 사용자 지정 SMS 및 이메일 발신자 함수를 할당합니다.


"LambdaConfig": {
   "KMSKeyID": "arn:aws:kms:us-east-1:123456789012:key/a6c4f8e2-0c45-47db-925f-87854bc9e357",
   "CustomEmailSender": {
      "LambdaArn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
      "LambdaVersion": "V1_0"
   },
   "CustomSMSSender": {
      "LambdaArn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
      "LambdaVersion": "V1_0"
   }

사용자 지정 이메일 발신자 Lambda 트리거 파라미터

Amazon Cognito가 이 Lambda 함수에 전달하는 요청은 아래 파라미터와 Amazon Cognito가 모든 요청에 추가하는 공통 파라미터의 조합입니다.

사용자 지정 이메일 발신자 요청 파라미터

type

요청 버전입니다. 사용자 지정 이메일 발신자 이벤트의 경우 이 문자열의 값은 항상 customEmailSenderRequestV1입니다.

code

함수가 해독하여 사용자에게 보낼 수 있는 암호화된 코드입니다.

clientMetadata

사용자 지정 이메일 발신자 Lambda 함수 트리거에 대한 사용자 지정 입력으로 제공할 수 있는 하나 이상의 키-값 페어입니다. 이 데이터를 Lambda 함수로 전달하려면 및 작업에서 AdminRespondToAuthChallenge파라미터를 사용할 ClientMetadata 수 있습니다. RespondToAuthChallengeAPI Amazon Cognito는 사후 인증 함수로 전달하는 요청에 ClientMetadata 파라미터 AdminInitiateAuth및 InitiateAuthAPI작업의 데이터를 포함하지 않습니다.

참고

Amazon ClientMetadata Cognito는 다음 트리거 소스를 사용하여 이벤트의 사용자 지정 이메일 트리거 함수로 전송합니다.

CustomEmailSender_ForgotPassword
CustomEmailSender_SignUp

Amazon Cognito는 소스와 함께 트리거 이벤트를 ClientMetadata 전송하지 않습니다. CustomEmailSender_AccountTakeOverNotification

userAttributes

사용자 속성을 나타내는 하나 이상의 키-값 페어입니다.

사용자 지정 이메일 발신자 응답 파라미터

Amazon Cognito는 사용자 지정 이메일 발신자 응답에서 추가 반환 정보를 기대하지 않습니다. Lambda 함수는 이벤트를 해석하고 코드를 해독한 다음 메시지 콘텐츠를 전달해야 합니다. 일반적인 함수는 이메일 메시지를 조합하여 타사 릴레이로 전달합니다. SMTP

사용자 지정 이메일 발신자 Lambda 트리거 활성화

사용자 지정 로직을 사용하여 사용자 풀에 대한 이메일 메시지를 보내는 사용자 지정 이메일 발신자 트리거를 설정하려면 다음과 같이 트리거를 활성화합니다. 다음 절차는 사용자 풀에 사용자 지정 이메일 트리거, 사용자 지정 SMS 트리거 또는 둘 다를 할당합니다. 사용자 지정 이메일 발신자 트리거를 추가하면 Amazon Cognito는 Amazon Simple Email Service를 통해 이메일 메시지를 전송했을 때처럼 항상 사용자 속성(예: 이메일 주소) 및 일회성 코드를 Lambda 함수로 전송합니다.

중요

Amazon HTML Cognito는 사용자의 임시 암호에 있는 < (<) 및 > (>) 와 같은 예약 문자를 이스케이프합니다. 이러한 문자는 Amazon Cognito가 사용자 지정 이메일 발신자 함수로 보내는 임시 암호에 표시될 수 있지만, 임시 확인 코드에는 표시되지 않습니다. 임시 암호를 전송하려면 Lambda 함수가 암호를 해독하고 이러한 문자를 이스케이프 해제한 다음 사용자에게 메시지를 전송해야 합니다.

AWS KMS에서 암호화 키를 생성합니다. 이 키는 Amazon Cognito가 생성하는 임시 암호 및 권한 부여 코드를 암호화합니다. 그런 다음 사용자 지정 발신자 Lambda 함수에서 이러한 보안 암호를 해독하여 사용자에게 일반 텍스트로 보낼 수 있습니다.

Amazon Cognito 서비스 주체에게 키를 사용하여 코드를 암호화할 수 있는 cognito-idp.amazonaws.com 액세스 권한을 부여하십시오. KMS

다음 리소스 기반 정책을 키에 적용하십시오. KMS


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "cognito-idp.amazonaws.com"
        },
        "Action": "kms:CreateGrant",
        "Resource": "arn:aws:kms:us-west-2:111222333444:key/1example-2222-3333-4444-999example",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "111222333444"
            },
            "ArnLike": {
                "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111222333444:userpool/us-east-1_EXAMPLE"
            }
        }
    }]
}

사용자 지정 SMS 발신자 트리거에 대한 Lambda 함수를 생성합니다. Amazon Cognito는 AWS 암호화를 SDK 사용하여 사용자 요청을 승인하는 비밀, 임시 암호 및 코드를 암호화합니다. API
1. 최소한 kms:Decrypt 키에 대한 권한이 있는 Lambda 함수에 IAM 역할을 할당하십시오. KMS
Amazon Cognito 서비스 보안 주체 cognito-idp.amazonaws.com에 Lambda 함수를 호출할 수 있는 권한을 부여합니다.

다음 AWS CLI 명령은 Amazon Cognito에 Lambda 함수를 호출할 수 있는 권한을 부여합니다.
```
        aws lambda add-permission --function-name lambda_arn --statement-id "CognitoLambdaInvokeAccess" --action lambda:InvokeFunction --principal cognito-idp.amazonaws.com
    
```
Lambda 함수 코드를 작성하여 메시지를 전송합니다. Amazon Cognito는 Amazon AWS Encryption SDK Cognito가 사용자 지정 발신자인 Lambda 함수에 암호를 보내기 전에 암호를 암호화하는 데 사용합니다. 함수에서 암호를 해독하고 관련 메타데이터를 처리합니다. 그런 다음 메시지를 전송하는 사용자 지정 담당자에게 코드, 사용자 지정 메시지, 대상 전화번호를 전송합니다. API
Lambda 함수에 AWS Encryption SDK 추가합니다. 자세한 내용은 AWS 암호화 SDK 프로그래밍 언어를 참조하십시오. Lambda 패키지를 업데이트하려면 다음 단계를 완료하세요.
1. Lambda 함수를 AWS Management Console에 .zip 파일로 내보냅니다.
2. 함수를 열고 추가합니다 AWS Encryption SDK. 자세한 내용과 다운로드 링크는 AWS Encryption SDK 개발자 안내서의 AWS Encryption SDK 프로그래밍 언어를 참조하세요.
3. 함수를 SDK 종속 항목으로 압축하고 함수를 Lambda에 업로드합니다. 자세한 내용은 AWS Lambda 개발자 안내서의 Lambda 함수를 .zip 파일 아카이브로 배포를 참조하세요.
사용자 풀을 업데이트하여 사용자 지정 발신자 Lambda 트리거를 추가합니다. 요청에 CustomSMSSender or CustomEmailSender 파라미터를 포함하십시오. UpdateUserPool API 이 UpdateUserPool API 작업에는 사용자 풀의 모든 파라미터와 변경하려는 파라미터가 필요합니다. 관련 파라미터를 모두 제공하지 않으면 Amazon Cognito에서 누락된 파라미터 값을 기본값으로 설정합니다. 다음 예시처럼 사용자 풀에 추가하거나 사용자 풀에서 유지할 모든 Lambda 함수의 항목을 포함합니다. 자세한 내용은 사용자 풀 구성 업데이트 단원을 참조하십시오.
```
    #Send this parameter in an 'aws cognito-idp update-user-pool' CLI command, including any existing 
    #user pool configurations.
              
      --lambda-config "PreSignUp=lambda-arn, \
                       CustomSMSSender={LambdaVersion=V1_0,LambdaArn=lambda-arn}, \
                       CustomEmailSender={LambdaVersion=V1_0,LambdaArn=lambda-arn}, \
                       KMSKeyID=key-id"        
 
```

를 사용하여 사용자 지정 발신자 Lambda 트리거를 제거하려면 --lambda-config 에서 CustomEmailSender 또는 파라미터를 CustomSMSSender 생략하고 사용자 풀에 사용하려는 다른 모든 트리거를 포함하십시오. update-user-pool AWS CLI

요청과 함께 UpdateUserPool API 사용자 지정 발신자 Lambda 트리거를 제거하려면 사용자 풀 CustomSMSSender 구성의 나머지 부분이 포함된 요청 본문에서 CustomEmailSender 또는 파라미터를 생략하십시오.

코드 예제

다음 Node.js 예제에서는 사용자 지정 이메일 발신자 Lambda 함수에서 이메일 메시지 이벤트를 처리합니다. 이 예에서는 함수에 두 개의 환경 변수가 정의되어 있다고 가정합니다.

KEY_ALIAS: 사용자 코드를 암호화하고 해독하는 데 사용하려는 KMS 키의 별칭입니다.
KEY_ARN: 사용자 코드를 암호화하고 해독하는 데 사용하려는 KMS 키의 Amazon 리소스 이름 (ARN).


const AWS = require('aws-sdk');
const b64 = require('base64-js');
const encryptionSdk = require('@aws-crypto/client-node');
//Configure the encryption SDK client with the KMS key from the environment variables.
const { encrypt, decrypt } = encryptionSdk.buildClient(encryptionSdk.CommitmentPolicy.REQUIRE_ENCRYPT_ALLOW_DECRYPT);
const generatorKeyId = process.env.KEY_ALIAS;
const keyIds = [ process.env.KEY_ARN ];
const keyring = new encryptionSdk.KmsKeyringNode({ generatorKeyId, keyIds })
exports.handler = async (event) => {
	//Decrypt the secret code using encryption SDK.
	let plainTextCode;
	if(event.request.code){
		const { plaintext, messageHeader } = await decrypt(keyring, b64.toByteArray(event.request.code));
		plainTextCode = plaintext
	}
	//PlainTextCode now contains the decrypted secret.
	if(event.triggerSource == 'CustomEmailSender_SignUp'){
		//Send an email message to your user via a custom provider.
		//Include the temporary password in the message.
	}
	else if(event.triggerSource == 'CustomEmailSender_Authentication'){
         //Send an MFA message.
	}
	else if(event.triggerSource == 'CustomEmailSender_ResendCode'){
         //Send a message with next steps for password reset.
	}
	else if(event.triggerSource == 'CustomEmailSender_ForgotPassword'){
         //Send a message with next steps for password reset.
	}
	else if(event.triggerSource == 'CustomEmailSender_UpdateUserAttribute'){
         //Send a message with next steps for confirming the new attribute.
	}
	else if(event.triggerSource == 'CustomEmailSender_VerifyUserAttribute'){
         //Send a message with next steps for confirming the new attribute.
	}
	else if(event.triggerSource == 'CustomEmailSender_AdminCreateUser'){
         //Send a message with next steps for signing in with a new user profile.
	}
	else if(event.triggerSource == 'CustomEmailSender_AccountTakeOverNotification'){
         //Send a message describing the threat protection event and next steps.
	}
	return;
};

사용자 정의 이메일 발신자 Lambda 트리거 소스

다음 표에는 Lambda 코드의 사용자 지정 이메일 트리거 소스에 대한 트리거 이벤트가 나와 있습니다.

`TriggerSource value`	Event
`CustomEmailSender_SignUp`	사용자가 가입하면 Amazon Cognito에서 시작 메시지를 보냅니다.
`CustomEmailSender_Authentication`	사용자가 로그인하면 Amazon Cognito가 다단계 인증 () MFA 코드를 전송합니다.
`CustomEmailSender_ForgotPassword`	사용자가 암호를 재설정하는 코드를 요청합니다.
`CustomEmailSender_ResendCode`	사용자가 암호를 재설정하는 대체 코드를 요청합니다.
`CustomEmailSender_UpdateUserAttribute`	사용자가 이메일 주소 또는 전화 번호 속성을 업데이트하면 Amazon Cognito에서 속성을 확인하는 코드를 보냅니다.
`CustomEmailSender_VerifyUserAttribute`	사용자가 새 이메일 주소 또는 전화 번호 속성을 생성하면 Amazon Cognito에서 속성을 확인하는 코드를 보냅니다.
`CustomEmailSender_AdminCreateUser`	사용자 풀에 새 사용자를 생성하면 Amazon Cognito에서 해당 사용자에게 임시 암호를 보냅니다.
`CustomEmailSender_AccountTakeOverNotification`	Amazon Cognito는 사용자 계정을 획득하려는 시도를 감지하고 사용자에게 알림을 보냅니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

사용자 지정 발신자 Lambda 트리거

사용자 지정 SMS 발신자 Lambda 트리거