我对Cognito还是很陌生,并使用了MobileHub的默认设置。
今天,我意识到具有以下信息的任何人都可以请求我池中任何用户的详细信息 -我的AWS账户ID -我的Cognito用户池ID
由于用户的属性通常包含电子邮件和电话号码,因此我不希望人们能够使用这些东西。 下面的简单python代码即可完成工作
import boto3
import requests
from requests_aws4auth import AWS4Auth
region_name = 'us-east-1'
account_id = 'xxxxxxxxxx'
upoolid = 'us-east-1_xxxxxxxxx'
# Create a new identity
boto3.setup_default_session(region_name = region_name)
client = boto3.client('cognito-idp', region_name=region_name)
response = client.admin_get_user(
UserPoolId=upoolid,
Username='name of a user'
)
问题:我是否配置错误?还是应该将AWS账户ID或Cognito池ID视为机密信息?