사전 토큰 생성 Lambda 트리거 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사전 토큰 생성 Lambda 트리거

토큰 생성 전에 Amazon Cognito가 이 트리거를 간접 호출하기 때문에 사용자 풀 토큰 신청을 사용자 지정할 수 있습니다. 버전 1 또는 V1_0 사전 토큰 생성 트리거 이벤트의 기본 기능을 사용하여 ID 토큰을 사용자 지정할 수 있습니다. 고급 보안 기능이 활성화된 사용자 풀에서는 액세스 토큰 사용자 지정을 통해 버전 2 또는 V2_0 트리거 이벤트를 생성할 수 있습니다.

Amazon Cognito는 ID 토큰에 쓸 데이터와 함께 V1_0 이벤트를 요청으로서 함수에 보냅니다. V2_0 이벤트는 Amazon Cognito가 ID 및 액세스 토큰 모두에 쓸 데이터가 포함된 단일 요청입니다. 두 토큰을 모두 사용자 지정하려면 최신 트리거 버전을 사용하도록 함수를 업데이트하고 동일한 응답으로 두 토큰의 데이터를 전송해야 합니다.

이 Lambda 트리거는 Amazon Cognito가 앱에 클레임을 발행하기 전에 ID 및 액세스 토큰의 일부 클레임을 추가, 제거 및 수정할 수 있습니다. 이 기능을 사용하려면 Amazon Cognito 사용자 풀 콘솔에서 Lambda 함수를 연결하거나 AWS Command Line Interface (AWS CLI)를 통해 사용자 풀 LambdaConfig를 업데이트합니다.

이벤트 버전

사용자 풀은 다양한 버전의 사전 토큰 생성 트리거 이벤트를 Lambda 함수에 전달할 수 있습니다. V1_0 트리거는 ID 토큰 수정을 위한 파라미터를 제공합니다. V2_0 트리거는 다음에 대한 파라미터를 제공합니다.

  1. V1_0 트리거의 함수입니다.

  2. 액세스 토큰을 사용자 지정하는 기능입니다.

  3. 복잡한 데이터 유형을 ID 및 액세스 토큰 클레임 값에 전달하는 기능:

    • String

    • 숫자

    • 문자열, 숫자, 부울 또는 이러한 문자열의 조합 배열

    • JSON

참고

ID 토큰에서 , phone_number_verified, 및 를 제외한 클레임 값에 복잡한 객체를 채울 수 email_verified updated_at있습니다address.

사용자 풀은 기본적으로 V1_0 이벤트를 전달합니다. V2_0 이벤트를 보내도록 사용자 풀을 구성하려면 Amazon Cognito 콘솔에서 트리거를 구성할 때 기본 기능의 트리거 이벤트 버전 + 액세스 토큰 사용자 지정을 선택합니다. UpdateUserPool 또는 CreateUserPool API 요청의 LambdaVersion LambdaConfig 파라미터에서 값을 설정할 수도 있습니다. V2_0 이벤트를 통한 액세스 토큰 사용자 지정에는 추가 비용이 적용됩니다. 자세한 내용은 Amazon Cognito 요금을 참조하세요.

제외된 클레임 및 범위

Amazon Cognito는 액세스 및 자격 증명 토큰에서 추가, 수정 또는 억제할 수 있는 클레임 및 범위를 제한합니다. Lambda 함수가 이러한 클레임 값을 설정하려고 시도하면 Amazon Cognito는 원래 클레임 값이 있는 토큰을 요청에서 발행합니다(요청에 클레임 값이 있는 경우).

공유 클레임
  • acr

  • amr

  • at_hash

  • auth_time

  • azp

  • exp

  • iat

  • iss

  • jti

  • nbf

  • nonce

  • origin_jti

  • sub

  • token_use

ID 토큰 클레임
  • identities

  • aud

  • cognito:username

액세스 토큰 클레임
  • username

  • client_id

  • scope

    참고

    scopesToAddscopesToSuppress 응답 값을 사용하여 액세스 토큰의 범위를 변경할 수 있지만, scope 클레임을 직접 수정할 수는 없습니다. 사용자 풀의 예약된 범위 aws.cognito.signin.user.adminaws.cognito로 시작하는 범위는 추가할 수 없습니다.

  • device_key

  • event_id

  • version

다음과 같은 접두사를 사용하여 클레임을 추가하거나 덮어쓸 수는 없지만 클레임을 숨기거나 토큰에 나타나지 않게 할 수는 있습니다.

  • dev:

  • cognito:

IAM 역할은 기본적으로 cognito:roles 및 를 사용자 풀 그룹에 cognito:preferred_role 연결합니다. 이러한 클레임을 억제하려면 claimsToSuppress 객체cognito:groups에서 를 억제합니다.

액세스 토큰에 aud 클레임을 추가할 수 있지만 해당 값은 현재 세션의 앱 클라이언트 ID와 일치해야 합니다. event.callerContext.clientId의 요청 이벤트에서 클라이언트 ID를 파생할 수 있습니다.

자격 증명 토큰 사용자 지정

사전 토큰 생성 Lambda 트리거를 사용하면 사용자 풀에서 자격 증명(ID) 토큰의 콘텐츠를 사용자 지정할 수 있습니다. ID 토큰은 웹 또는 모바일 앱에 로그인하기 위한 신뢰할 수 있는 ID 소스의 사용자 속성을 제공합니다. ID 토큰에 대한 자세한 내용은 자격 증명(ID) 토큰 이해 섹션을 참조하세요.

사전 토큰 생성 Lambda 트리거를 ID 토큰과 함께 사용하는 방법은 다음과 같습니다.

  • 런타임 시 사용자가 자격 증명 풀에서 요청하는 IAM 역할을 변경합니다.

  • 외부 소스의 사용자 속성을 추가합니다.

  • 기존 사용자 속성 값을 추가하거나 바꿉니다.

  • 사용자의 승인된 범위와 앱 클라이언트에 부여한 속성에 대한 읽기 액세스 권한으로 인해 앱에 달리 전달될 수 있는 사용자 속성의 공개를 차단합니다.

액세스 토큰 사용자 지정

사전 토큰 생성 Lambda 트리거를 사용하면 사용자 풀에서 액세스 토큰의 콘텐츠를 사용자 지정할 수 있습니다. 액세스 토큰은 사용자에게 Amazon Cognito 토큰 인증 API 작업 및 타사 와 같은 액세스 보호 리소스에서 정보를 검색할 수 있는 권한을 부여합니다APIs. 클라이언트 보안 인증 권한 부여를 사용하여 Amazon Cognito를 통한 (M2M) 권한 부여에 대한 machine-to-machine 액세스 토큰을 생성할 수 있지만 M2M 요청은 사전 토큰 생성 트리거 함수를 호출하지 않으며 사용자 지정 액세스 토큰을 발급할 수 없습니다. 액세스 토큰에 대한 자세한 내용은 액세스 토큰 이해 섹션을 참조하세요.

사전 토큰 생성 Lambda 트리거를 액세스 토큰과 함께 사용하는 방법은 다음과 같습니다.

  • scope 클레임에 OAuth 2.0 범위를 추가하거나 숨깁니다. 예를 들어, Amazon Cognito 사용자 풀 API 인증으로 인해 발생한 액세스 토큰에 범위를 추가할 수 있으며, 이 범위는 범위 만 할당합니다aws.cognito.signin.user.admin.

  • 사용자 풀 그룹의 사용자 멤버십을 변경합니다.

  • Amazon Cognito 액세스 토큰에 아직 존재하지 않는 클레임을 추가합니다.

  • 앱으로 달리 전달될 수 있는 클레임의 공개를 차단합니다.

사용자 풀의 액세스 사용자 지정을 지원하려면 트리거 요청의 업데이트된 버전을 생성하도록 사용자 풀을 구성해야 합니다. 다음 절차에 나오는 대로 사용자 풀을 업데이트합니다.

AWS Management Console
사전 토큰 생성 Lambda 트리거에서 액세스 토큰 사용자 지정의 지원
  1. Amazon Cognito 콘솔로 이동한 다음 사용자 풀(User Pools)을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. 아직 활성화하지 않은 경우 고급 보안 탭에서 고급 보안 기능을 활성화합니다.

  4. [사용자 풀 속성(User pool properties)] 탭을 선택하고 [Lambda 트리거(Lambda triggers)]를 찾습니다.

  5. 사전 토큰 생성 트리거를 추가 또는 편집합니다.

  6. Lambda 함수 할당에서 Lambda 함수를 선택합니다.

  7. 기본 기능+액세스 토큰 사용자 지정트리거 이벤트 버전을 선택하십시오. 이 설정은 Amazon Cognito가 함수에 보내는 요청 파라미터를 업데이트하여 액세스 토큰 사용자 지정을 위한 필드를 포함합니다.

User pools API

사전 토큰 생성 Lambda 트리거에서 액세스 토큰 사용자 지정의 지원

CreateUserPool 또는 UpdateUserPool API 요청을 생성합니다. 기본값으로 설정하지 않으려는 모든 파라미터의 값을 지정해야 합니다. 자세한 내용은 사용자 풀 및 앱 클라이언트 구성 업데이트 단원을 참조하십시오.

요청의 LambdaVersion 파라미터에 다음 콘텐츠를 포함합니다. V2_0LambdaVersion 값을 지정하면 사용자 풀이 액세스 토큰 사용자 지정을 위한 파라미터를 추가합니다. 특정 함수 버전을 호출하려면 함수 버전이 값으로 ARN 인 Lambda 함수를 사용합니다LambdaArn.

"PreTokenGenerationConfig": { "LambdaArn": "arn:aws:lambda:us-west-2:123456789012:function:MyFunction", "LambdaVersion": "V2_0" },

사전 토큰 생성 Lambda 트리거 소스

triggerSource 값 Event
TokenGeneration_HostedAuth 인증하는 동안 Amazon Cognito 호스트된 UI 로그인 페이지에서 호출됩니다.
TokenGeneration_Authentication 사용자 인증 흐름이 완료된 이후 호출됩니다.
TokenGeneration_NewPasswordChallenge 사용자가 관리자에 의해 생성된 후 호출됩니다. 이 흐름은 사용자가 임시 비밀번호를 변경해야 할 때 호출됩니다.
TokenGeneration_AuthenticateDevice 사용자 디바이스 인증 마지막에 호출됩니다.
TokenGeneration_RefreshTokens 사용자가 자격 증명 및 액세스 토큰을 새로 고치려 할 때 호출됩니다.

사전 토큰 생성 Lambda 트리거 파라미터

Amazon Cognito가 이 Lambda 함수에 전달하는 요청은 아래 파라미터와 Amazon Cognito가 모든 요청에 추가하는 공통 파라미터의 조합입니다. 사전 토큰 생성 Lambda 트리거를 사용자 풀에 추가할 때 트리거 버전을 선택할 수 있습니다. 이 버전은 Amazon Cognito가 액세스 토큰 사용자 지정을 위한 추가 파라미터와 함께 Lambda 함수에 요청을 전달할지 여부를 결정합니다.

Version 1

버전 1 토큰은 ID 토큰에서 그룹 멤버십, IAM 역할 및 새 클레임을 설정할 수 있습니다.

{ "request": { "userAttributes": {"string": "string"}, "groupConfiguration": { "groupsToOverride": [ "string", "string" ], "iamRolesToOverride": [ "string", "string" ], "preferredRole": "string" }, "clientMetadata": {"string": "string"} }, "response": { "claimsOverrideDetails": { "claimsToAddOrOverride": {"string": "string"}, "claimsToSuppress": [ "string", "string" ], "groupOverrideDetails": { "groupsToOverride": [ "string", "string" ], "iamRolesToOverride": [ "string", "string" ], "preferredRole": "string" } } } }
Version 2

버전 2 요청 이벤트는 액세스 토큰을 사용자 지정하는 필드를 추가합니다. 또한 응답 객체의 복잡한 claimsToOverride 데이터 유형에 대한 지원을 추가합니다. Lambda 함수는 값 에서 다음과 같은 유형의 데이터를 반환할 수 있습니다claimsToOverride.

  • String

  • 숫자

  • 문자열, 숫자, 부울 또는 이러한 문자열의 조합 배열

  • JSON

{ "request": { "userAttributes": { "string": "string" }, "scopes": ["string", "string"], "groupConfiguration": { "groupsToOverride": ["string", "string"], "iamRolesToOverride": ["string", "string"], "preferredRole": "string" }, "clientMetadata": { "string": "string" } }, "response": { "claimsAndScopeOverrideDetails": { "idTokenGeneration": { "claimsToAddOrOverride": { "string": [accepted datatype] }, "claimsToSuppress": ["string", "string"] }, "accessTokenGeneration": { "claimsToAddOrOverride": { "string": [accepted datatype] }, "claimsToSuppress": ["string", "string"], "scopesToAdd": ["string", "string"], "scopesToSuppress": ["string", "string"] }, "groupOverrideDetails": { "groupsToOverride": ["string", "string"], "iamRolesToOverride": ["string", "string"], "preferredRole": "string" } } } }

사전 토큰 생성 요청 파라미터

명칭 설명 최소 트리거 이벤트 버전
userAttributes

사용자 풀에 있는 사용자의 사용자 프로필 속성입니다.

1
groupConfiguration

현재 그룹 구성을 포함하는 입력 객체입니다. 이 객체에는 groupsToOverride, iamRolesToOverridepreferredRole이 포함됩니다.

1
groupsToOverride

사용자가 속한 사용자 풀 그룹입니다.

1
iamRolesTo재정의

사용자 풀 그룹을 AWS Identity and Access Management (IAM) 역할과 연결할 수 있습니다. 이 요소는 사용자가 속한 그룹의 모든 IAM 역할 목록입니다.

1
preferredRole

사용자 풀 그룹의 우선 순위를 설정할 수 있습니다. 이 요소에는 groupsToOverride 요소의 우선순위가 가장 높은 그룹의 IAM 역할 이름이 포함됩니다.

1
clientMetadata

사용자가 지정하고 사전 토큰 생성 트리거에 Lambda 함수에 대한 사용자 지정 입력으로 제공할 수 있는 하나 이상의 키-값 페어입니다.

이 데이터를 Lambda 함수에 전달하려면 AdminRespondToAuthChallengeRespondToAuthChallenge API 작업에서 파라미터를 사용합니다 ClientMetadata. Amazon Cognito는 사전 토큰 생성 함수로 전달되는 요청AdminInitiateAuth의 및 InitiateAuth API 작업에서 ClientMetadata 파라미터의 데이터를 포함하지 않습니다.

1
범위

사용자의 OAuth 2.0 범위입니다. 액세스 토큰에 표시되는 범위는 사용자가 요청하고 앱 클라이언트에 발급을 승인한 사용자 풀 표준 및 사용자 지정 범위입니다.

2

사전 토큰 생성 응답 파라미터

명칭 설명 최소 트리거 이벤트 버전
claimsOverrideDetails V1_0 트리거 이벤트의 모든 요소를 담는 컨테이너입니다. 1
claimsAndScopeOverrideDetails

V2_0 트리거 이벤트의 모든 요소를 담는 컨테이너입니다.

2
idTokenGeneration

사용자 ID 토큰에서 재정의, 추가 또는 차단하려는 클레임입니다. 이 상위 ID 토큰 사용자 지정 값은 버전 2 이벤트에만 나타나지만 하위 요소는 버전 1 이벤트에 나타납니다.

2
accessTokenGeneration

사용자 액세스 토큰에서 재정의, 추가 또는 차단하려는 클레임 및 범위입니다. 이 상위 액세스 토큰 사용자 지정 값은 버전 2 이벤트에서만 나타납니다.

2
claimsToAddOrOverride

추가 또는 수정하려는 하나 이상의 클레임 및 해당 값이 표시된 맵입니다. 그룹 관련 클레임의 경우 대신 groupOverrideDetails를 사용합니다.

버전 2 이벤트에서 이 요소는 accessTokenGenerationidTokenGeneration에 모두 나타납니다.

1*
claimsToSuppress

Amazon Cognito가 차단하길 원하는 클레임의 목록입니다. 함수가 신청 값을 억제하고 대체하는 경우 Amazon Cognito는 신청을 억제합니다.

버전 2 이벤트에서 이 요소는 accessTokenGenerationidTokenGeneration에 모두 나타납니다.

1
groupOverrideDetails

현재 그룹 구성을 포함하는 입력 객체입니다. 이 객체에는 groupsToOverride, iamRolesToOverridepreferredRole이 포함됩니다.

함수가 groupOverrideDetails 객체를 사용자가 제공하는 객체로 바꿉니다. 응답에서 비어 있는 객체 또는 Null 객체를 제공하면 Amazon Cognito가 그룹을 억제합니다. 기존 그룹 구성을 동일하게 유지하려면 요청의 groupConfiguration 객체 값을 응답의 groupOverrideDetails 객체로 복사합니다. 그런 다음 해당 객체를 서비스로 다시 전달합니다.

Amazon Cognito ID 및 액세스 토큰 둘 다에 cognito:groups 클레임이 포함되어 있습니다. groupOverrideDetails 객체는 액세스 토큰과 ID 토큰의 cognito:groups 클레임을 대체합니다.

1
scopesToAdd

사용자의 액세스 토큰에서 scope 클레임에 추가하려는 OAuth 2.0 범위의 목록입니다. 하나 이상의 공백 문자가 포함된 범위 값은 추가할 수 없습니다.

2
scopesToSuppress

사용자의 액세스 토큰의 scope 클레임에서 제거하려는 OAuth 2.0 범위의 목록입니다.

2

* 버전 1 이벤트에 대한 응답 객체는 문자열을 반환할 수 있습니다. 버전 2 이벤트에 대한 응답 객체는 복잡한 객체 를 반환할 수 있습니다.

사전 토큰 트리거 이벤트 버전 2 예시: 클레임, 범위 및 그룹 추가 및 억제

이 예시에서는 사용자 토큰을 다음과 같이 수정합니다.

  1. ID 토큰에서 family_nameDoe와 동일하게 설정합니다.

  2. ID 토큰에 emailphone_number 클레임이 나타나지 않도록 합니다.

  3. ID 토큰 cognito:roles 클레임을 "arn:aws:iam::123456789012:role\/sns_callerA","arn:aws:iam::123456789012:role\/sns_callerC","arn:aws:iam::123456789012:role\/sns_callerB"로 설정합니다.

  4. ID 토큰 cognito:preferred_role 클레임을 arn:aws:iam::123456789012:role/sns_caller로 설정합니다.

  5. 액세스 토큰에 범위 openid, email, solar-system-data/asteroids.add를 추가합니다.

  6. 액세스 토큰에서 범위 phone_numberaws.cognito.signin.user.admin을 억제합니다. phone_number를 제거하면 userInfo에서 사용자 전화 번호를 검색할 수 없습니다. 를 제거하면 사용자가 Amazon Cognito 사용자 풀 을 사용하여 자신의 프로필을 읽고 수정하라는 API 요청을 aws.cognito.signin.user.admin 방지할 수 있습니다API.

    참고

    액세스 토큰의 나머지 범위에 openid 및 하나 이상의 표준 범위가 포함된 경우에만 범위에서 phone_number를 제거하면 사용자 전화 번호를 검색할 수 없습니다. 자세한 내용은 범위에 대한 정보 단원을 참조하십시오.

  7. ID 및 액세스 토큰 cognito:groups 클레임을 "new-group-A","new-group-B","new-group-C"로 설정합니다.

JavaScript
export const handler = function(event, context) { event.response = { "claimsAndScopeOverrideDetails": { "idTokenGeneration": { "claimsToAddOrOverride": { "family_name": "Doe" }, "claimsToSuppress": [ "email", "phone_number" ] }, "accessTokenGeneration": { "scopesToAdd": [ "openid", "email", "solar-system-data/asteroids.add" ], "scopesToSuppress": [ "phone_number", "aws.cognito.signin.user.admin" ] }, "groupOverrideDetails": { "groupsToOverride": [ "new-group-A", "new-group-B", "new-group-C" ], "iamRolesToOverride": [ "arn:aws:iam::123456789012:role/new_roleA", "arn:aws:iam::123456789012:role/new_roleB", "arn:aws:iam::123456789012:role/new_roleC" ], "preferredRole": "arn:aws:iam::123456789012:role/new_role", } } }; // Return to Amazon Cognito context.done(null, event); };

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플의 테스트 이벤트입니다.

JSON
{ "version": "2", "triggerSource": "TokenGeneration_Authentication", "region": "us-east-1", "userPoolId": "us-east-1_EXAMPLE", "userName": "JaneDoe", "callerContext": { "awsSdkVersion": "aws-sdk-unknown-unknown", "clientId": "1example23456789" }, "request": { "userAttributes": { "sub": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "cognito:user_status": "CONFIRMED", "email_verified": "true", "phone_number_verified": "true", "phone_number": "+12065551212", "family_name": "Zoe", "email": "Jane.Doe@example.com" }, "groupConfiguration": { "groupsToOverride": ["group-1", "group-2", "group-3"], "iamRolesToOverride": ["arn:aws:iam::123456789012:role/sns_caller1", "arn:aws:iam::123456789012:role/sns_caller2", "arn:aws:iam::123456789012:role/sns_caller3"], "preferredRole": ["arn:aws:iam::123456789012:role/sns_caller"] }, "scopes": [ "aws.cognito.signin.user.admin", "openid", "email", "phone" ] }, "response": { "claimsAndScopeOverrideDetails": [] } }

사전 토큰 생성 이벤트 버전 2 예제: 복잡한 객체로 클레임 추가

이 예시에서는 사용자 토큰을 다음과 같이 수정합니다.

  1. ID 토큰에 숫자, 문자열, 부울 및 JSON 유형의 클레임을 추가합니다. 이는 버전 2 트리거 이벤트가 ID 토큰에 사용할 수 있도록 하는 유일한 변경 사항입니다.

  2. 액세스 토큰에 번호, 문자열, 부울 및 JSON 유형의 클레임을 추가합니다.

  3. 액세스 토큰에 세 가지 범위를 추가합니다.

  4. ID email 및 액세스 토큰에서 및 sub 클레임을 억제합니다.

  5. 액세스 토큰의 aws.cognito.signin.user.admin 범위를 숨깁니다.

JavaScript
export const handler = function(event, context) { var scopes = ["MyAPI.read", "MyAPI.write", "MyAPI.admin"] var claims = {} claims["aud"]= event.callerContext.clientId; claims["booleanTest"] = false; claims["longTest"] = 9223372036854775807; claims["exponentTest"] = 1.7976931348623157E308; claims["ArrayTest"] = ["test", 9223372036854775807, 1.7976931348623157E308, true]; claims["longStringTest"] = "\{\ \"first_json_block\": \{\ \"key_A\": \"value_A\",\ \"key_B\": \"value_B\"\ \},\ \"second_json_block\": \{\ \"key_C\": \{\ \"subkey_D\": [\ \"value_D\",\ \"value_E\"\ ],\ \"subkey_F\": \"value_F\"\ \},\ \"key_G\": \"value_G\"\ \}\ \}"; claims["jsonTest"] = { "first_json_block": { "key_A": "value_A", "key_B": "value_B" }, "second_json_block": { "key_C": { "subkey_D": [ "value_D", "value_E" ], "subkey_F": "value_F" }, "key_G": "value_G" } }; event.response = { "claimsAndScopeOverrideDetails": { "idTokenGeneration": { "claimsToAddOrOverride": claims, "claimsToSuppress": ["email"] }, "accessTokenGeneration": { "claimsToAddOrOverride": claims, "claimsToSuppress": ["email"], "scopesToAdd": scopes, "scopesToSuppress": ["aws.cognito.signin.user.admin"] } } }; console.info("EVENT response\n" + JSON.stringify(event, (_, v) => typeof v === 'bigint' ? v.toString() : v, 2)) console.info("EVENT response size\n" + JSON.stringify(event, (_, v) => typeof v === 'bigint' ? v.toString() : v).length) // Return to Amazon Cognito context.done(null, event); };

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플의 테스트 이벤트입니다.

JSON
{ "version": "2", "triggerSource": "TokenGeneration_HostedAuth", "region": "us-west-2", "userPoolId": "us-west-2_EXAMPLE", "userName": "JaneDoe", "callerContext": { "awsSdkVersion": "aws-sdk-unknown-unknown", "clientId": "1example23456789" }, "request": { "userAttributes": { "sub": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "cognito:user_status": "CONFIRMED" "email_verified": "true", "phone_number_verified": "true", "phone_number": "+12065551212", "email": "Jane.Doe@example.com" }, "groupConfiguration": { "groupsToOverride": ["group-1", "group-2", "group-3"], "iamRolesToOverride": ["arn:aws:iam::123456789012:role/sns_caller1"], "preferredRole": ["arn:aws:iam::123456789012:role/sns_caller1"] }, "scopes": [ "aws.cognito.signin.user.admin", "phone", "openid", "profile", "email" ] }, "response": { "claimsAndScopeOverrideDetails": [] } }

사전 토큰 생성 이벤트 버전 1 예시: 새 클레임 추가 및 기존 클레임 억제

이 예시에서는 사전 토큰 생성 Lambda 함수와 버전 1 트리거 이벤트를 사용하여 새 클레임을 추가하고 기존 클레임을 차단합니다.

Node.js
const handler = async (event) => { event.response = { claimsOverrideDetails: { claimsToAddOrOverride: { my_first_attribute: "first_value", my_second_attribute: "second_value", }, claimsToSuppress: ["email"], }, }; return event; }; export { handler };

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플에 대한 테스트 이벤트입니다. 이 코드 예에서는 요청 파라미터를 처리하지 않기 때문에 빈 요청에 테스트 이벤트를 사용할 수 있습니다. 공통 요청 파라미터에 대한 자세한 내용은 사용자 풀 Lambda 트리거 이벤트 섹션을 참조하세요.

JSON
{ "request": {}, "response": {} }

사전 토큰 생성 이벤트 버전 1 예시: 사용자의 그룹 멤버십 수정

이 예시에서는 사전 토큰 생성 Lambda 함수와 버전 1 트리거 이벤트를 사용하여 사용자의 그룹 멤버십을 수정합니다.

Node.js
const handler = async (event) => { event.response = { claimsOverrideDetails: { groupOverrideDetails: { groupsToOverride: ["group-A", "group-B", "group-C"], iamRolesToOverride: [ "arn:aws:iam::XXXXXXXXXXXX:role/sns_callerA", "arn:aws:iam::XXXXXXXXX:role/sns_callerB", "arn:aws:iam::XXXXXXXXXX:role/sns_callerC", ], preferredRole: "arn:aws:iam::XXXXXXXXXXX:role/sns_caller", }, }, }; return event; }; export { handler };

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플의 테스트 이벤트입니다.

JSON
{ "request": {}, "response": {} }