사용자 지정 SMS 발신자 Lambda 트리거 - Amazon Cognito
사용자 지정 SMS 발신자 Lambda 트리거 파라미터사용자 지정 SMS 발신자 Lambda 트리거 활성화코드 예제사용자 지정 SMS 발신자 함수로 SMS 메시지 기능 평가사용자 지정 SMS 발신자 트리거 소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 SMS 발신자 Lambda 트리거

사용자 지정 SMS 발신자 트리거를 사용자 풀에 할당하면 Amazon Cognito가 사용자 이벤트로 인해 SMS 메시지를 전송해야 하는 경우 기본 동작 대신 Lambda 함수를 호출합니다. 사용자 지정 발신자 트리거를 사용하면 AWS Lambda 함수에서 선택한 방법 및 공급자를 통해 사용자에게 SMS 알림을 보낼 수 있습니다. 함수의 사용자 지정 코드는 사용자 풀의 모든 SMS 메시지를 처리하고 전달해야 합니다.

참고

현재 Amazon Cognito 콘솔에서 사용자 지정 발신자 트리거를 할당할 수 없습니다. CreateUserPool 또는 UpdateUserPool API 요청에서 LambdaConfig 파라미터를 사용하여 트리거를 할당할 수 있습니다.

이 트리거를 설정하려면 다음 단계를 수행합니다.

  1. AWS Key Management Service ()AWS KMS에서 대칭 암호화 키를 생성합니다. Amazon Cognito가 암호(임시 암호, 검증 코드 및 확인 코드)를 생성한 다음 이 KMS 키를 사용하여 암호화합니다. 그런 다음 Lambda 함수에서 Decrypt API를 사용하여 암호를 해독하고 사용자에게 일반 텍스트로 보낼 수 있습니다. 함수 AWS KMS 작업에 유용한 도구입니다. AWS Encryption SDK

  2. 사용자 지정 발신자 트리거로 할당할 Lambda 함수를 생성합니다. KMS 키에 대한 kms:Decrypt 권한을 Lambda 함수 역할에 부여합니다.

  3. Amazon Cognito 서비스 보안 주체 cognito-idp.amazonaws.com에 Lambda 함수를 호출할 수 있는 권한을 부여합니다.

  4. 사용자 지정 전송 방법 또는 서드 파티 공급자에게 메시지를 전달하는 Lambda 함수 코드를 작성합니다. 사용자의 검증 또는 확인 코드를 전달하기 위해 Base64는 요청의 code 파라미터 값을 디코딩하고 해독합니다. 이 작업을 수행하면 메시지에 포함해야 하는 일반 텍스트 코드 또는 암호가 생성됩니다.

  5. 사용자 지정 발신자 Lambda 트리거를 사용하도록 사용자 풀을 업데이트합니다. 사용자 지정 발신자 트리거를 사용하여 사용자 풀을 업데이트하거나 생성하는 IAM 보안 주체는 KMS 키에 대한 권한 부여를 생성할 권한을 가져야 합니다. 다음 LambdaConfig 코드 조각에서는 사용자 지정 SMS 및 이메일 발신자 함수를 할당합니다.

    "LambdaConfig": {
   "KMSKeyID": "arn:aws:kms:us-east-1:123456789012:key/a6c4f8e2-0c45-47db-925f-87854bc9e357",
   "CustomEmailSender": {
      "LambdaArn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
      "LambdaVersion": "V1_0"
   },
   "CustomSMSSender": {
      "LambdaArn": "arn:aws:lambda:us-east-1:123456789012:function:MyFunction",
      "LambdaVersion": "V1_0"
   }

사용자 지정 SMS 발신자 Lambda 트리거 파라미터

Amazon Cognito가 이 Lambda 함수에 전달하는 요청은 아래 파라미터와 Amazon Cognito가 모든 요청에 추가하는 공통 파라미터의 조합입니다.

JSON
{
    "request": {
        "type": "customSMSSenderRequestV1",
        "code": "string",
        "clientMetadata": {
            "string": "string",
             . . .
            },
        "userAttributes": {
            "string": "string",
            . . .
         }
}

사용자 지정 SMS 발신자 요청 파라미터

유형

요청 버전입니다. 사용자 지정 SMS 발신자 이벤트의 경우 이 문자열의 값은 항상 customSMSSenderRequestV1입니다.

code

함수가 해독하여 사용자에게 보낼 수 있는 암호화된 코드입니다.

clientMetadata

사용자 지정 SMS 발신자 Lambda 함수 트리거에 대한 사용자 지정 입력으로 제공할 수 있는 하나 이상의 키-값 페어입니다. 이 데이터를 Lambda 함수로 전달하기 위해 및 API 작업에서 AdminRespondToAuthChallenge파라미터를 사용할 ClientMetadata 수 있습니다. RespondToAuthChallenge Amazon Cognito는 사후 인증 함수로 전달하는 요청에 ClientMetadata 파라미터 입력 AdminInitiateAuthInitiateAuthAPI 작업의 데이터를 포함하지 않습니다.

userAttributes

사용자 속성을 나타내는 하나 이상의 키-값 페어입니다.

사용자 지정 SMS 발신자 응답 파라미터

Amazon Cognito는 응답에서 추가 반환 정보를 기대하지 않습니다. 함수는 API 작업을 사용하여 리소스를 쿼리 및 수정하거나 이벤트 메타데이터를 외부 시스템에 기록할 수 있습니다.

사용자 지정 SMS 발신자 Lambda 트리거 활성화

사용자 지정 로직을 사용하여 사용자 풀에 대한 SMS 메시지를 보내는 사용자 지정 SMS 발신자 트리거를 설정할 수 있습니다. 다음 절차에서는 사용자 풀에 사용자 지정 SMS 트리거, 사용자 지정 이메일 트리거 또는 둘 다를 할당합니다. 사용자 지정 SMS 발신자 트리거를 추가하면 Amazon Cognito는 Amazon Simple Notification Service를 통해 SMS 메시지를 보내는 기본 동작을 하는 대신, 전화번호를 비롯한 사용자 속성과 일회용 코드를 항상 Lambda 함수로 전송합니다.

중요

Amazon Cognito HTML은 사용자의 임시 암호에 있는 <(&lt;) 및>(&gt;) 같은 예약 문자를 이스케이프 처리합니다. 이러한 문자는 Amazon Cognito가 사용자 지정 이메일 발신자 함수로 보내는 임시 암호에 표시될 수 있지만, 임시 확인 코드에는 표시되지 않습니다. 임시 암호를 전송하려면 Lambda 함수가 암호를 해독하고 이러한 문자를 이스케이프 해제한 다음 사용자에게 메시지를 전송해야 합니다.

  1. AWS KMS에서 암호화 키를 생성합니다. 이 키는 Amazon Cognito가 생성하는 임시 암호 및 권한 부여 코드를 암호화합니다. 그런 다음 사용자 지정 발신자 Lambda 함수에서 이러한 보안 암호를 해독하여 사용자에게 일반 텍스트로 보낼 수 있습니다.

  2. Amazon Cognito 서비스 주체에 KMS 키로 코드를 암호화할 수 있는cognito-idp.amazonaws.com 액세스 권한을 부여합니다.

    다음 리소스 기반 정책을 KMS 키에 적용합니다.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "cognito-idp.amazonaws.com"
        },
        "Action": "kms:CreateGrant",
        "Resource": "arn:aws:kms:us-west-2:111222333444:key/1example-2222-3333-4444-999example",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "111222333444"
            },
            "ArnLike": {
                "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111222333444:userpool/us-east-1_EXAMPLE"
            }
        }
    }]
}

  3. 사용자 지정 SMS 발신자 트리거에 대한 Lambda 함수를 생성합니다. Amazon Cognito는 AWS 암호화 SDK를 사용하여 암호, 임시 암호 및 사용자의 API 요청을 인증하는 코드를 암호화합니다.

    1. 최소한 KMS 키에 대한 kms:Decrypt 권한이 있는 Lambda 함수에 IAM 역할을 할당합니다.

  4. Amazon Cognito 서비스 보안 주체 cognito-idp.amazonaws.com에 Lambda 함수를 호출할 수 있는 권한을 부여합니다.

    다음 AWS CLI 명령은 Amazon Cognito에 Lambda 함수를 호출할 수 있는 권한을 부여합니다.

    
        aws lambda add-permission --function-name lambda_arn --statement-id "CognitoLambdaInvokeAccess" --action lambda:InvokeFunction --principal cognito-idp.amazonaws.com

  5. Lambda 함수 코드를 작성하여 메시지를 전송합니다. Amazon Cognito는 Amazon AWS Encryption SDK Cognito가 사용자 지정 발신자인 Lambda 함수에 암호를 보내기 전에 암호를 암호화하는 데 사용합니다. 함수에서 암호를 해독하고 관련 메타데이터를 처리합니다. 그런 다음 코드, 사용자 지정 메시지 및 대상 전화번호를 메시지를 전달하는 사용자 지정 API에 전송합니다.

  6. Lambda 함수에 AWS Encryption SDK 추가합니다. 자세한 내용은 AWS 암호화 SDK 프로그래밍 언어를 참조하세요. Lambda 패키지를 업데이트하려면 다음 단계를 완료하세요.

    1. Lambda 함수를 AWS Management Console에 .zip 파일로 내보냅니다.

    2. 함수를 열고 추가합니다. AWS Encryption SDK자세한 내용과 다운로드 링크는 AWS Encryption SDK 개발자 안내서AWS Encryption SDK 프로그래밍 언어를 참조하세요.

    3. SDK 종속성과 함께 함수를 압축하고 함수를 Lambda에 업로드합니다. 자세한 내용은 AWS Lambda 개발자 안내서Lambda 함수를 .zip 파일 아카이브로 배포를 참조하세요.

  7. 사용자 풀을 업데이트하여 사용자 지정 발신자 Lambda 트리거를 추가합니다. UpdateUserPool API 요청에 CustomSMSSender 또는CustomEmailSender 파라미터를 포함합니다. UpdateUserPool API 작업에서는 사용자 풀의 모든 파라미터와 변경할 파라미터가 모두 필요합니다. 관련 파라미터를 모두 제공하지 않으면 Amazon Cognito에서 누락된 파라미터 값을 기본값으로 설정합니다. 다음 예시처럼 사용자 풀에 추가하거나 사용자 풀에서 유지할 모든 Lambda 함수의 항목을 포함합니다. 자세한 설명은 사용자 풀 구성 업데이트 섹션을 참조하세요.

    
    #Send this parameter in an 'aws cognito-idp update-user-pool' CLI command, including any existing 
    #user pool configurations.
              
      --lambda-config "PreSignUp=lambda-arn, \
                       CustomSMSSender={LambdaVersion=V1_0,LambdaArn=lambda-arn}, \
                       CustomEmailSender={LambdaVersion=V1_0,LambdaArn=lambda-arn}, \
                       KMSKeyID=key-id"

를 사용하여 사용자 지정 발신자 Lambda 트리거를 제거하려면 --lambda-config 에서 CustomEmailSender 또는 파라미터를 CustomSMSSender 생략하고 사용자 풀에 사용하려는 다른 모든 트리거를 포함하십시오. update-user-pool AWS CLI

UpdateUserPool API 요청이 포함된 사용자 지정 발신자 Lambda 트리거를 제거하려면 나머지 사용자 풀 구성을 포함하는 요청 본문에서 CustomSMSSender 또는 CustomEmailSender 파라미터를 생략합니다.

코드 예제

다음 Node.js 예제에서는 사용자 지정 SMS 발신자 Lambda 함수에서 SMS 메시지 이벤트를 처리합니다. 이 예에서는 함수에 두 개의 환경 변수가 정의되어 있다고 가정합니다.

KEY_ALIAS

사용자 코드를 암호화하고 복호화하는 데 사용하려는 KMS 키의 별칭입니다.

KEY_ARN

사용자 코드를 암호화하고 복호화하는 데 사용하려는 KMS 키의 Amazon 리소스 이름(ARN)입니다.

const AWS = require('aws-sdk');
const b64 = require('base64-js');
const encryptionSdk = require('@aws-crypto/client-node');
//Configure the encryption SDK client with the KMS key from the environment variables.  
const { encrypt, decrypt } = encryptionSdk.buildClient(encryptionSdk.CommitmentPolicy.REQUIRE_ENCRYPT_ALLOW_DECRYPT);
const generatorKeyId = process.env.KEY_ALIAS;
const keyIds = [ process.env.KEY_ARN ];
const keyring = new encryptionSdk.KmsKeyringNode({ generatorKeyId, keyIds })
exports.handler = async (event) => {
	//Decrypt the secret code using encryption SDK.
	let plainTextCode;
	if(event.request.code){
		const { plaintext, messageHeader } = await decrypt(keyring, b64.toByteArray(event.request.code));
		plainTextCode = plaintext
	}
	//PlainTextCode now contains the decrypted secret.
	if(event.triggerSource == 'CustomSMSSender_SignUp'){
		//Send an SMS message to your user via a custom provider.
		//Include the temporary password in the message.
	}
	else if(event.triggerSource == 'CustomSMSSender_ResendCode'){
	}
	else if(event.triggerSource == 'CustomSMSSender_ForgotPassword'){
	}
	else if(event.triggerSource == 'CustomSMSSender_UpdateUserAttribute'){
	}
	else if(event.triggerSource == 'CustomSMSSender_VerifyUserAttribute'){
	}
	else if(event.triggerSource == 'CustomSMSSender_AdminCreateUser'){
	}
	else if(event.triggerSource == 'CustomSMSSender_AccountTakeOverNotification'){
	}
	return;
};

사용자 지정 SMS 발신자 함수로 SMS 메시지 기능 평가

사용자 지정 SMS 발신자 Lambda 함수는 사용자 풀이 보낼 SMS 메시지를 수락하고, 함수는 사용자 지정 논리를 기반으로 콘텐츠를 전달합니다. Amazon Cognito는 사용자 지정 SMS 발신자 Lambda 트리거 파라미터를 사용자의 함수에 보냅니다. 함수는 이 정보로 원하는 것을 할 수 있습니다. 예를 들어, 코드를 Amazon SNS Simple Notification Service(Amazon SNS) 주제에 보낼 수 있습니다. Amazon SNS 주제 구독자는 SMS 메시지, HTTPS 엔드포인트 또는 이메일 주소일 수 있습니다.

사용자 지정 SMS 발신자 Lambda 함수를 사용하여 Amazon Cognito SMS 메시징을 위한 테스트 환경을 만들려면 의 aws-sample 라이브러리에서 development-and-testing-with- sms-redirected-to-email 를 amazon-cognito-user-pool 참조하십시오. GitHub 리포지토리에는 새 사용자 풀을 생성하거나 이미 보유한 사용자 풀을 사용할 수 있는 AWS CloudFormation 템플릿이 포함되어 있습니다. 이러한 템플릿은 Lambda 함수와 Amazon SNS 주제를 생성합니다. 템플릿이 사용자 지정 SMS 발신자 트리거로 할당하는 Lambda 함수는 SMS 메시지를 Amazon SNS 주제의 구독자로 리디렉션합니다.

이 솔루션을 사용자 풀에 배포하면 Amazon Cognito가 일반적으로 SMS 메시징을 통해 보내는 모든 메시지, 즉 Lambda 함수는 대신 중앙 이메일 주소로 보냅니다. 이 솔루션을 사용하여 SMS 메시지를 사용자 지정하고 미리 보고 Amazon Cognito에서 SMS 메시지를 보내도록 하는 사용자 풀 이벤트를 테스트할 수 있습니다. 테스트를 완료한 후에는 CloudFormation 스택을 롤백하거나 사용자 풀에서 사용자 지정 SMS 발신자 함수 할당을 제거하십시오.

중요

amazon-cognito-user-pooldevelopment-and-testing-withsms-redirected-to-email--의 템플릿을 사용하여 프로덕션 환경을 구축하지 마세요. 솔루션의 사용자 지정 SMS 발신자 Lambda 함수에서 SMS 메시지를 시뮬레이션하지만 Lambda 함수는 이 모든 메시지를 하나의 중앙 이메일 주소로 보냅니다. 프로덕션 Amazon Cognito 사용자 풀에서 SMS 메시지를 보내려면 먼저 Amazon Cognito 사용자 풀의 SMS 메시지 설정에 표시된 요구 사항을 완료해야 합니다.

사용자 지정 SMS 발신자 Lambda 트리거 소스

다음 표에는 Lambda 코드의 사용자 지정 SMS 트리거 소스에 대한 트리거 이벤트가 나와 있습니다.

TriggerSource value Event
CustomSMSSender_SignUp 사용자가 가입하면 Amazon Cognito에서 시작 메시지를 보냅니다.
CustomSMSSender_ForgotPassword 사용자가 암호를 재설정하는 코드를 요청합니다.
CustomSMSSender_ResendCode 사용자가 등록을 확인하기 위해 새 코드를 요청합니다.
CustomSMSSender_VerifyUserAttribute 사용자가 새 이메일 주소 또는 전화 번호 속성을 생성하면 Amazon Cognito에서 속성을 확인하는 코드를 보냅니다.
CustomSMSSender_UpdateUserAttribute 사용자가 이메일 주소 또는 전화 번호 속성을 업데이트하면 Amazon Cognito에서 속성을 확인하는 코드를 보냅니다.
CustomSMSSender_Authentication SMS 멀티 팩터 인증(MFA)으로 구성된 사용자가 로그인합니다.
CustomSMSSender_AdminCreateUser 사용자 풀에 새 사용자를 생성하면 Amazon Cognito에서 해당 사용자에게 임시 암호를 보냅니다.