本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将用户导入一个用户池
您可以使用以下两种方式将用户从现有用户目录或用户数据库导入或迁移到 Amazon Cognito 用户池中。您可以利用用户迁移 Lambda 触发器,在用户首次使用 Amazon Cognito 登录时迁移用户。借助这种方法,用户可以继续使用其现有的密码,不必在迁移到用户池后重置密码。或者,您可以上传 CSV 文件 (包含所有用户的用户配置文件属性),批量迁移用户。以下各部分分别介绍了这两种方法。
**更多资源**
+ [将用户迁移到 Amazon Cognito 用户池的方法](https://aws.amazon.com/blogs/security/approaches-for-migrating-users-to-amazon-cognito-user-pools/)
+ [AWS re: inforce 2023-迁移到亚马逊 Cognito](https://www.youtube.com/watch?v=OkDj9uXWwCc)
**Topics**
+ [利用用户迁移 Lambda 触发器导入用户](cognito-user-pools-import-using-lambda.md)
+ [通过 CSV 文件将用户导入用户池中](cognito-user-pools-using-import-tool.md)
# 利用用户迁移 Lambda 触发器导入用户
使用这种方法,当用户首次登录您的应用程序或请求重置密码时,您可以将用户从现有用户目录无缝迁移到用户池。向您的用户池添加一个 [迁移用户 Lambda 触发器](user-pool-lambda-migrate-user.md) 函数,它会接收有关尝试登录的用户的元数据,并从外部身份源返回用户配置文件信息。有关此 Lambda 触发器的详细信息以及示例代码(包括请求和响应参数),请参阅[迁移用户 Lambda 触发器参数](user-pool-lambda-migrate-user.md#cognito-user-pools-lambda-trigger-syntax-user-migration)。
在开始迁移用户之前,请在您的 AWS 账户中创建一个用户迁移 Lambda 函数,并将该 Lambda 函数设置为您的用户池中的用户迁移触发器。向您的 Lambda 函数添加授权策略,该策略仅允许 Amazon Cognito 服务账户主体 `cognito-idp.amazonaws.com` 调用该 Lambda 函数,并且只能在您自己的用户池的上下文中进行。有关更多信息,请参阅[对 AWS Lambda 使用基于资源的策略(Lambda 函数策略)](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。
**登录流程**
1. 用户打开您的应用程序并使用 Amazon Cognito 用户池 API 或通过托管登录进行登录。有关如何简化使用 Amazon Cogn APIs ito 登录的更多信息,请参阅。[将 Amazon Cognito 身份验证和授权与 Web 和移动应用程序集成](cognito-integrate-apps.md)
1. 您的应用程序将用户名和密码发送至 Amazon Cognito。如果您的应用程序具有使用 AWS SDK 构建的自定义登录界面,则您的应用程序必须使用[InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)或[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)与`USER_PASSWORD_AUTH`或`ADMIN_USER_PASSWORD_AUTH`流程。当您的应用使用其中一个流程时,开发工具包会将密码发送到服务器。
**注意**
在添加用户迁移触发器之前,请在您的应用程序客户端的设置中激活 `USER_PASSWORD_AUTH` 或 `ADMIN_USER_PASSWORD_AUTH` 流程。您必须使用这些流程而不是默认 `USER_SRP_AUTH` 流程。Amazon Cognito 必须向您的 Lambda 函数发送密码,以便它可以验证您的用户在另一个目录中的身份验证。SRP 会在您的 Lambda 函数中隐藏您用户的密码。
1. Amazon Cognito 检查提交的用户名是否与用户池中的用户名或别名匹配。您可以将用户的电子邮件地址、电话号码或首选用户名设置为用户池中的别名。如果用户不存在,Amazon Cognito 会将参数(包括用户名和密码)发送到您的 [迁移用户 Lambda 触发器](user-pool-lambda-migrate-user.md) 函数。
1. 您的 [迁移用户 Lambda 触发器](user-pool-lambda-migrate-user.md) 函数使用您的现有用户目录或用户数据库检查用户,或验证用户身份。该函数返回 Amazon Cognito 存储在用户池的用户配置文件中的用户属性。仅当提交的用户名与别名属性匹配时,您才能返回 `username` 参数。如果您希望用户继续使用其现有密码,您的函数将在 Lambda 响应中将属性 `finalUserStatus` 设置为 `CONFIRMED`。您的应用程序必须返回 [迁移用户 Lambda 触发器参数](user-pool-lambda-migrate-user.md#cognito-user-pools-lambda-trigger-syntax-user-migration) 中显示的所有 `"response"` 参数。
**重要**
不要在您的用户迁移 Lambda 代码中记录整个请求事件对象。此请求事件对象包括用户的密码。如果您不对日志进行消毒,则密码会显示在 CloudWatch 日志中。
1. Amazon Cognito 在您的用户池中创建用户配置文件,并将令牌返回您的应用程序客户端。
1. 您的应用程序执行令牌接收,接受用户身份验证,然后继续处理请求的内容。
迁移用户后,请使用 `USER_SRP_AUTH` 进行登录。安全远程密码 (SRP) 协议不会通过网络发送密码,并为您在迁移期间使用的 `USER_PASSWORD_AUTH` 流程提供安全优势。
如果迁移期间出现错误(包括客户端设备或网络问题),您的应用程序会从 Amazon Cognito 用户池 API 接收错误响应。发生这种情况时,Amazon Cognito 可能会也可能不会在您的用户池中创建用户账户。然后,用户应尝试再次登录。如果登录反复失败,请尝试在您的应用程序中使用忘记密码流程重置用户密码。
忘记密码流程还会使用 `UserMigration_ForgotPassword` 事件源调用您的 [迁移用户 Lambda 触发器](user-pool-lambda-migrate-user.md) 函数。由于用户在请求密码重置时没有提交密码,因此 Amazon Cognito 在发送到您的 Lambda 函数的事件中不包含密码。您的函数只能在现有用户目录中查找用户并返回属性,以添加到用户池中的用户配置文件中。在您的函数完成其调用并将其响应返回给 Amazon Cognito 后,您的用户池将通过电子邮件或 SMS 发送密码重置代码。在您的应用程序中,提示您的用户输入确认码和新密码,然后[ConfirmForgotPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html)通过 API 请求将该信息发送给 Amazon Cognito。您还可以在托管登录中使用内置的忘记密码流程页面。
**其他资源**
+ [将用户迁移到 Amazon Cognito 用户池的方法](https://aws.amazon.com/blogs/security/approaches-for-migrating-users-to-amazon-cognito-user-pools/)
# 通过 CSV 文件将用户导入用户池中
如果您有外部身份存储,并且有时间为新的本地用户准备用户池,那么在迁移到 Amazon Cognito 用户池,选择从逗号分隔值(CSV)文件批量导入用户既省时省力,又可降低成本。CSV 文件导入是先下载和填入模板文件,然后在导入任务中将该文件移交给用户池的过程。您可以使用 CSV 导入来快速创建测试用户。您还可以通过编程的方式,使用读取 API 请求从外部身份存储中获取数据,然后解析这些数据的详细信息和属性,再将它们写入到文件中。
导入过程会设置所有用户属性的值,不过 **password** 除外。不支持导入密码,因为安全妥善做法要求密码不能为纯文本,而我们不支持导入哈希。这意味着,用户必须在首次登录时更改密码。使用此方法导入用户时,用户处于 `RESET_REQUIRED` 状态。
从 CSV 导入用户最省力的方法是在用户池中激活[无密码登录](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless)。借助电子邮件地址和电话号码属性以及正确的用户池配置,用户可以在导入任务完成后立即使用电子邮件或短信一次性密码 (OTPs) 登录。有关更多信息,请参阅 [要求导入的用户重置密码](#cognito-user-pools-using-import-tool-password-reset)。
您也可以使用 [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserPassword.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserPassword.html) API 请求,将 `Permanent` 参数设置为 `true` 来设置用户的密码。CSV 导入不会计入用户池中按月计费的活跃用户 (MAUs)。但是,确实会生成密码重置操作。 MAUs要在导入大量可能不会立即处于活动状态的带密码用户时控制成本,请将您的应用程序设置为在用户登录并收到 `RESET_REQUIRED` 质询时提示他们输入新密码。
**注意**
每个用户的创建日期就是将该用户导入用户池中的日期。创建日期不是导入的属性之一。
**创建用户导入任务的步骤**
1. 在 AWS Identity and Access Management (IAM) 控制台中创建 Amazon L CloudWatch ogs 角色。
1. 创建用户导入 .csv 文件。
1. 创建并运行用户导入任务。
1. 上传用户导入 .csv 文件。
1. 启动并运行用户导入任务。
1. CloudWatch 用于查看事件日志。
1. 要求导入的用户重置密码。
**更多资源**
+ [Cognito 用户配置文件导出参考架构](https://aws.amazon.com/solutions/implementations/cognito-user-profiles-export-reference-architecture/),用于在用户池之间导出用户账户
**Topics**
+ [创建日 CloudWatch 志 IAM 角色](#cognito-user-pools-using-import-tool-cli-cloudwatch-iam-role)
+ [创建用户导入 CSV 文件](#cognito-user-pools-using-import-tool-csv-header)
+ [创建并运行 Amazon Cognito 用户池导入任务](#cognito-user-pools-creating-import-job)
+ [在 CloudWatch 控制台中查看用户池导入结果](#cognito-user-pools-using-import-tool-cloudwatch)
+ [要求导入的用户重置密码](#cognito-user-pools-using-import-tool-password-reset)
## 创建日 CloudWatch 志 IAM 角色
如果您使用的是 Amazon Cognito CLI 或 API,则需要创建一个 CloudWatch IAM 角色。以下过程介绍如何创建一个 IAM 角色,Amazon Cognito 可以使用该角色将导入任务的结果写入日志。 CloudWatch
**注意**
在 Amazon Cognito 控制台中创建导入作业时,您可以同时创建 IAM 角色。当您选择 **Create a new IAM role**(创建新 IAM 角色)时,Amazon Cognito 会自动对该角色应用相应的信任策略和 IAM policy。
**创建用于用户池导入的 CloudWatch Logs IAM 角色 (AWS CLI,API)**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 为创建新的 IAM 角色 AWS 服务。有关详细说明,请参阅《AWS Identity and Access Management 用户指南》**中的[为 AWS 服务创建一个角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。
1. 当您为 **Trusted entity type**(可信实体类型)选择 **Use case**(使用案例)时,请选择任意服务。Amazon Cognito 目前未在服务使用案例中列出。
1. 在 **Add permissions**(添加权限)屏幕中,选择 **Create policy**(创建策略)并插入以下策略声明。例如,*REGION* AWS 区域 替换为用户池中的`us-east-1`。例如*ACCOUNT*,用您的 AWS 账户 身份证替换`111122223333`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cognito/*"
]
}
]
}
```
------
1. 由于您在创建角色时没有选择 Amazon Cognito 作为可信实体,因此您现在必须手动编辑该角色的信任关系。在 IAM 控制台的导航窗格中选择 **Roles**(角色),然后选择您创建的新角色。
1. 选择 **Trust relationships(信任关系)**选项卡。
1. 选择**编辑信任策略**。
1. 将以下策略声明粘贴到 **Edit trust policy**(编辑信任策略)中,替换任何现有文本:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cognito-idp.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 选择**更新策略**。
1. 记下 角色 ARN。您在创建导入作业时需要此 ARN。
## 创建用户导入 CSV 文件
您必须先创建逗号分隔值(CSV,Comma-Separated Value)文件,在其中包含要导入的用户及其属性,然后才能将现有用户导入用户池中。从用户池中,您可以检索其标头反映了您的用户池的属性架构的用户导入文件。然后,您可以插入符合 [设置 CSV 文件的格式](#cognito-user-pools-using-import-tool-formatting-csv-file) 中的格式要求的用户信息。
### 下载 CSV 文件标头(控制台)
使用以下步骤下载 CSV 标头文件。
**下载 CSV 文件标头**
1. 转到 [Amazon Cognito 控制台](https://console.aws.amazon.com/cognito/home)。系统可能会提示您输入 AWS 凭证。
1. 选择 **User Pools**(用户池)。
1. 从列表中选择现有用户池。
1. 选择**用户**菜单。
1. 在 **Import users**(导入用户)部分中,选择 **Create an import job**(创建导入作业)。
1. 在 **Upload CSV**(上传 CSV)下,选择 *template.csv* 链接并下载 CSV 文件。
### 下载 CSV 文件标头(AWS CLI)
要获取正确的标题列表,请从**用户**菜单中的**导入用户**下选择**创建导入作业**。在随后的对话框中,选择 `template.csv` 链接以下载包含您的用户池属性的模板文件。
您也可以运行以下 CLI 命令,其中*USER\$1POOL\$1ID*是要将用户导入到的用户池的用户池标识符:
```
aws cognito-idp get-csv-header --user-pool-id "USER_POOL_ID"
```
示例响应:
```
{
"CSVHeader": [
"name",
"given_name",
"family_name",
"middle_name",
"nickname",
"preferred_username",
"profile",
"picture",
"website",
"email",
"email_verified",
"gender",
"birthdate",
"zoneinfo",
"locale",
"phone_number",
"phone_number_verified",
"address",
"updated_at",
"cognito:mfa_enabled",
"cognito:username"
],
"UserPoolId": "USER_POOL_ID"
}
```
### 设置 CSV 文件的格式
下载的用户导入 CSV 标头文件类似于以下字符串。它还包括您已添加到用户池的所有自定义属性。
```
cognito:username,name,given_name,family_name,middle_name,nickname,preferred_username,profile,picture,website,email,email_verified,gender,birthdate,zoneinfo,locale,phone_number,phone_number_verified,address,updated_at,cognito:mfa_enabled
```
编辑 CSV 文件,以使文件包含此标头和用户的属性值,并根据以下规则设置格式:
**注意**
有关属性值(如电话号码的正确格式)的更多信息,请参阅[使用用户属性](user-pool-settings-attributes.md)。
+ 文件的第一行是已下载的包含用户属性名称的标头行。
+ CSV 文件中列的顺序不重要。
+ 第一行之后的每一行都包含用户的属性值。
+ 标头中的所有列都必须存在,但您不需要在每一列中提供值。
+ 以下属性为必需属性:
+ **cognito:username**
+ **email\$1verified** 或 **phone\$1number\$1verified**
+ 每个用户至少有一个自动验证属性必须为 `true`。自动验证的属性是新用户加入您的用户池时,Amazon Cognito 自动向其发送验证码的电子邮件地址或电话号码。
+ 用户池必须至少有一个自动验证属性,要么是 **email\$1verified**,要么是 **phone\$1number\$1verified**。如果用户池没有自动验证属性,则导入任务不会启动。
+ 如果用户池只有一个自动验证属性,则该属性必须针对每个用户进行验证。例如,如果用户池只有 **phone\$1number** 为自动验证属性,则每个用户的 **phone\$1number\$1verified** 值都必须为 `true`。
**注意**
对于重置其密码的用户,用户必须拥有经过验证的电子邮件或电话号码。Amazon Cognito 将包含重置密码代码的消息发送到 CSV 文件中指定的电子邮件或电话号码。如果将消息发送到电话号码,则通过 SMS 消息发送。有关更多信息,请参阅 [在注册时验证联系人信息](signing-up-users-in-your-app.md#allowing-users-to-sign-up-and-confirm-themselves)。
+ **email**(如果 **email\$1verified** 为 `true`)
+ **phone\$1number**(如果 **phone\$1number\$1verified** 为 `true`)
+ 创建用户池时标记为必需的所有属性
+ 字符串式的属性值*不* 应该用引号括起来。
+ 如果属性值包含逗号,则您必须在逗号前使用反斜杠 (\$1)。这是因为 CSV 文件中的字段使用逗号分隔。
+ CSV 文件内容应采用不含字节顺序标记的 UTF-8 格式。
+ **cognito:username** 字段是必填项,并且在用户池中必须是唯一的。它可以是任何 Unicode 字符串。但是,它不能包含空格或制表符。
+ **出生日期**值(如果存在)必须采用以下格式**mm/dd/yyyy**。也就是说,如果生日日期为 1985 年 2 月 1 日,则必须编码为 **02/01/1985**。
+ **cognito:mfa\$1enabled** 字段必须符合用户池的 MFA 要求。如果您已将用户池设置为需要进行多重身份验证(MFA),则所有用户的此字段都必须为 `true` 或为空。如果您已将 MFA 设置为关闭,则所有用户的此字段都必须为 `false` 或为空。空值将导入的用户启用 MFA 的状态设置为用户池所需的状态。无论是否设置 `cognito:mfa_enabled` 值,您都可以在没有有效 MFA 因素的情况下将用户导入到要求 MFA 的用户池中。处于此状态的用户已激活 MFA,但在配置电子邮件属性、电话号码属性或 TOTP 之前无法登录,并且该配置是用户池中的有效 MFA 因素。
+ 最大长度为 16000 个字符。
+ CSV 文件的最大大小为 100MB。
+ 文件中的最大行(用户)数为 5,00000。此最大值不包括标题行。
+ **updated\$1at** 字段值应为纪元时间(用秒表示),例如:**1471453471**。
+ 属性值中的所有前导空格或尾部空格均应去除。
以下列表是没有自定义属性的用户池的 CSV 导入文件示例。您的用户池架构可能与此示例有所不同。在这种情况下,您必须在从用户池下载的 CSV 模板中提供测试值。
```
cognito:username,name,given_name,family_name,middle_name,nickname,preferred_username,profile,picture,website,email,email_verified,gender,birthdate,zoneinfo,locale,phone_number,phone_number_verified,address,updated_at,cognito:mfa_enabled
John,,John,Doe,,,,,,,johndoe@example.com,TRUE,,02/01/1985,,,+12345550100,TRUE,123 Any Street,,FALSE
Jane,,Jane,Roe,,,,,,,janeroe@example.com,TRUE,,01/01/1985,,,+12345550199,TRUE,100 Main Street,,FALSE
```
## 创建并运行 Amazon Cognito 用户池导入任务
本节介绍如何使用 Amazon Cognito 控制台和 AWS Command Line Interface ()AWS CLI创建和运行用户池导入任务。
**Topics**
+ [从 CSV 文件导入用户(控制台)](#cognito-user-pools-using-import-tool-console)
+ [导入用户(AWS CLI)](#cognito-user-pools-using-import-tool-cli)
### 从 CSV 文件导入用户(控制台)
以下过程介绍了如何从 CSV 文件导入用户。
**从 CSV 文件导入用户(控制台)**
1. 转到 [Amazon Cognito 控制台](https://console.aws.amazon.com/cognito/home)。系统可能会提示您输入 AWS 凭证。
1. 选择 **User Pools**(用户池)。
1. 从列表中选择现有用户池。
1. 选择**用户**菜单。
1. 在 **Import users**(导入用户)部分中,选择 **Create an import job**(创建导入作业)。
1. 在 **Create import job**(创建导入作业)页面上,输入 **Job name**(作业名称)。
1. 选择 **Create a new IAM role**(创建新的 IAM 角色)或者 **Use an existing IAM role**(使用现有 IAM 角色)。
1. 如果您选择 **Create a new IAM role**(创建新的 IAM 角色),请输入新角色的名称。Amazon Cognito 将自动创建具有正确权限和信任关系的角色。创建导入作业的 IAM 主体必须具有创建 IAM 角色的权限。
1. 如果您选择 **Use an existing IAM role**(使用现有 IAM 角色),请从 **IAM role selection**(IAM 角色选择)下的列表中选择一个角色。此角色必须具有 [创建日 CloudWatch 志 IAM 角色](#cognito-user-pools-using-import-tool-cli-cloudwatch-iam-role) 中所述的权限和信任策略。
1. 在**上传 CSV** 下,选择**选择文件**并附加准备好的 CSV 文件。
1. 选择 **Create job**(创建作业)可提交作业,但稍后再启动。选择 **Create and start job**(创建并启动作业)可提交您的作业并立即启动。
1. 如果您创建了作业但未启动作业,则可以稍后再启动。在**用户**菜单的**导入用户**下,选择导入作业,然后选择**开始**。您也可以从 AWS SDK 提交 [StartUserImportJob](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_StartUserImportJob.html)API 请求。
1. 在**用户**菜单的**导入用户**下,监控用户导入作业的进度。如果您的作业不成功,则可以选择 **Status**(状态)值。要了解更多详细信息,请选择**查看 CloudWatch 日志以了解更多详细信息**,然后在 CloudWatch 日志控制台中查看所有问题。
### 导入用户(AWS CLI)
以下 CLI 命令可用于将用户导入到用户池:
+ `create-user-import-job`
+ `get-csv-header`
+ `describe-user-import-job`
+ `list-user-import-jobs`
+ `start-user-import-job`
+ `stop-user-import-job`
要获取这些命令的命令行选项列表,请使用 `help` 命令行选项。例如:
```
aws cognito-idp get-csv-header help
```
#### 创建用户导入任务
创建 CSV 文件后,通过运行以下 CLI 命令创建用户导入任务,其中*JOB\$1NAME*是您为任务选择的名称,*USER\$1POOL\$1ID*是要向其中添加新用户的用户池的用户池 ID,*ROLE\$1ARN*也是您在中收到的角色 ARN:[创建日 CloudWatch 志 IAM 角色](#cognito-user-pools-using-import-tool-cli-cloudwatch-iam-role)
```
aws cognito-idp create-user-import-job --job-name "JOB_NAME" --user-pool-id "USER_POOL_ID" --cloud-watch-logs-role-arn "ROLE_ARN"
```
响应中*PRE\$1SIGNED\$1URL*返回的有效期为 15 分钟。在此之后,它将过期,而您必须创建新的用户导入任务以获取新的 URL。
**Example 响应:**
```
{
"UserImportJob": {
"Status": "Created",
"SkippedUsers": 0,
"UserPoolId": "USER_POOL_ID",
"ImportedUsers": 0,
"JobName": "JOB_NAME",
"JobId": "JOB_ID",
"PreSignedUrl": "PRE_SIGNED_URL",
"CloudWatchLogsRoleArn": "ROLE_ARN",
"FailedUsers": 0,
"CreationDate": 1470957431.965
}
}
```
#### 用户导入任务的状态值
在对用户导入命令的响应中,您将看到以下 `Status` 值当中的其中一个值:
+ `Created` – 任务已创建但未启动。
+ `Pending` – 转换状态。您已启动任务,但它尚未开始导入用户。
+ `InProgress` – 任务已启动,正在导入用户。
+ `Stopping` – 您已停止任务,但任务尚未停止导入用户。
+ `Stopped` – 您已停止任务,且任务已停止导入用户。
+ `Succeeded` – 任务已成功完成。
+ `Failed` – 任务因错误而停止。
+ `Expired` – 您创建了一个任务,但未在 24-48 小时内启动任务。与任务关联的所有数据已删除,且任务无法启动。
#### 上传 CSV 文件
使用以下 `curl` 命令将包含用户数据的 CSV 文件上传到您从 `create-user-import-job` 命令的响应中获取的预签名 URL。
```
curl -v -T "PATH_TO_CSV_FILE" -H "x-amz-server-side-encryption:aws:kms" "PRE_SIGNED_URL"
```
在此命令的输出中,查找 `"We are completely uploaded and fine"` 这一短语。此短语表示文件已成功上传。运行导入作业后,您的用户池不会将信息保留在导入文件中。在它们完成或过期后,Amazon Cognito 会删除上传的 CSV 文件。
#### 描述用户导入任务
要获取用户导入任务的描述,请使用以下命令,其中*USER\$1POOL\$1ID*是您的用户池 ID,*JOB\$1ID*是您创建用户导入任务时返回的任务 ID。
```
aws cognito-idp describe-user-import-job --user-pool-id "USER_POOL_ID" --job-id "JOB_ID"
```
**Example 示例响应:**
```
{
"UserImportJob": {
"Status": "Created",
"SkippedUsers": 0,
"UserPoolId": "USER_POOL_ID",
"ImportedUsers": 0,
"JobName": "JOB_NAME",
"JobId": "JOB_ID",
"PreSignedUrl": "PRE_SIGNED_URL",
"CloudWatchLogsRoleArn":"ROLE_ARN",
"FailedUsers": 0,
"CreationDate": 1470957431.965
}
}
```
在前面的示例输出中,*PRE\$1SIGNED\$1URL*是您将 CSV 文件上传到的网址。*ROLE\$1ARN*是您在创建角色时收到的 CloudWatch 日志角色 ARN。
#### 列出用户导入任务
要列出用户导入任务,请使用以下命令:
```
aws cognito-idp list-user-import-jobs --user-pool-id "USER_POOL_ID" --max-results 2
```
**Example 示例响应:**
```
{
"UserImportJobs": [
{
"Status": "Created",
"SkippedUsers": 0,
"UserPoolId": "USER_POOL_ID",
"ImportedUsers": 0,
"JobName": "JOB_NAME",
"JobId": "JOB_ID",
"PreSignedUrl":"PRE_SIGNED_URL",
"CloudWatchLogsRoleArn":"ROLE_ARN",
"FailedUsers": 0,
"CreationDate": 1470957431.965
},
{
"CompletionDate": 1470954227.701,
"StartDate": 1470954226.086,
"Status": "Failed",
"UserPoolId": "USER_POOL_ID",
"ImportedUsers": 0,
"SkippedUsers": 0,
"JobName": "JOB_NAME",
"CompletionMessage": "Too many users have failed or been skipped during the import.",
"JobId": "JOB_ID",
"PreSignedUrl":"PRE_SIGNED_URL",
"CloudWatchLogsRoleArn":"ROLE_ARN",
"FailedUsers": 5,
"CreationDate": 1470953929.313
}
],
"PaginationToken": "PAGINATION_TOKEN"
}
```
任务按创建日期 (从近到远) 排列。第二个任务之后的*PAGINATION\$1TOKEN*字符串表示此列表命令还有其他结果。要列出更多结果,请使用 `--pagination-token` 选项,如下所示:
```
aws cognito-idp list-user-import-jobs --user-pool-id "USER_POOL_ID" --max-results 10 --pagination-token "PAGINATION_TOKEN"
```
#### 启动用户导入任务
要启动用户导入任务,请使用以下命令:
```
aws cognito-idp start-user-import-job --user-pool-id "USER_POOL_ID" --job-id "JOB_ID"
```
每个账户每次只能有一个导入任务处于活动状态。
**Example 示例响应:**
```
{
"UserImportJob": {
"Status": "Pending",
"StartDate": 1470957851.483,
"UserPoolId": "USER_POOL_ID",
"ImportedUsers": 0,
"SkippedUsers": 0,
"JobName": "JOB_NAME",
"JobId": "JOB_ID",
"PreSignedUrl":"PRE_SIGNED_URL",
"CloudWatchLogsRoleArn": "ROLE_ARN",
"FailedUsers": 0,
"CreationDate": 1470957431.965
}
}
```
#### 停止用户导入任务
要停止正在进行的用户导入任务,请使用以下命令。停止任务后,无法重新启动该任务。
```
aws cognito-idp stop-user-import-job --user-pool-id "USER_POOL_ID" --job-id "JOB_ID"
```
**Example 示例响应:**
```
{
"UserImportJob": {
"CompletionDate": 1470958050.571,
"StartDate": 1470958047.797,
"Status": "Stopped",
"UserPoolId": "USER_POOL_ID",
"ImportedUsers": 0,
"SkippedUsers": 0,
"JobName": "JOB_NAME",
"CompletionMessage": "The Import Job was stopped by the developer.",
"JobId": "JOB_ID",
"PreSignedUrl":"PRE_SIGNED_URL",
"CloudWatchLogsRoleArn": "ROLE_ARN",
"FailedUsers": 0,
"CreationDate": 1470957972.387
}
}
```
## 在 CloudWatch 控制台中查看用户池导入结果
您可以在 Amazon CloudWatch 控制台中查看导入任务的结果。
**Topics**
+ [查看结果](#cognito-user-pools-using-import-tool-viewing-the-results)
+ [解析结果](#cognito-user-pools-using-import-tool-interpreting-the-results)
### 查看结果
以下步骤介绍了如何查看用户池导入结果。
**查看用户池导入结果的步骤**
1. 登录 AWS 管理控制台 并打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 选择 **Logs (日志)**。
1. 为用户池导入任务选择日志组。日志组名称的形式为 `/aws/cognito/userpools/USER_POOL_ID/USER_POOL_NAME`。
1. 为刚运行的用户导入任务选择日志。日志名称的格式为*JOB\$1ID*/*JOB\$1NAME*。日志中的结果按行号引用用户。日志中不会写入用户数据。对于每个用户,都将出现类似于以下内容的行:
+ `[SUCCEEDED] Line Number 5956 - The import succeeded.`
+ `[SKIPPED] Line Number 5956 - The user already exists.`
+ `[FAILED] Line Number 5956 - The User Record does not set any of the auto verified attributes to true. (Example: email_verified to true).`
### 解析结果
成功导入的用户的状态设置为 “PasswordReset”。
在以下情况下,将不会导入用户,但导入任务将继续:
+ 自动验证属性未设置为 `true`。
+ 用户数据与架构不匹配。
+ 由于内部错误,无法导入用户。
在以下情况下,导入任务将失败:
+ 无法担任 CloudWatch Amazon Logs 角色,该角色的访问策略不正确,或者已被删除。
+ 用户池已删除。
+ Amazon Cognito 无法解析 .csv 文件。
## 要求导入的用户重置密码
如果您的用户池仅提供基于密码的登录,则在导入用户后,用户必须重置其密码。他们第一次登录时可以输入*任何*密码。Amazon Cognito 会在 API 响应您的应用程序的登录请求时提示他们输入新密码。
如果您的用户池具有无密码身份验证因素,Amazon Cognito 会默认采用适用于导入的用户的身份验证因素。他们不会被提示输入新密码,并且可以立即使用无密码电子邮件或短信 OTP 登录。您也可以提示用户设置密码,以便他们可以完成其他登录方法,例如用户名密码和通行密钥。以下条件适用于导入用户后的无密码登录。
1. 您必须使用与可用无密码登录因素相对应的属性导入用户。如果用户可以使用电子邮件地址登录,则必须导入 `email` 属性。如果是电话号码,则必须导入 `phone_number` 属性。如果两者兼而有之,则为任一属性导入一个值。
1. 通常,用户在必须重置其密码的 `RESET_REQUIRED` 状态下导入。如果用户在导入后能够使用无密码因素登录,则 Amazon Cognito 会将其状态设置为 `CONFIRMED`。
有关无密码身份验证的更多信息,包括如何设置无密码身份验证以及如何在应用程序中构造身份验证流程,请参阅[使用 Amazon Cognito 用户池进行身份验证](authentication.md)。
以下过程描述了您导入 CSV 文件后,处于 `RESET_REQUIRED` 状态的本地用户在自定义构建的登录机制中的用户体验。如果您的用户通过托管登录进行登录,请让他们选择**忘记密码?**选项,提供他们的电子邮件或短信中的代码,然后设置密码。
**要求导入的用户重置密码**
1. 在您的应用程序中,通过 `InitiateAuth` 使用随机密码以静默方式为当前用户尝试登录。
1. 启用了 `PreventUserExistenceErrors` 时,Amazon Cognito 返回 `NotAuthorizedException`。否则返回 `PasswordResetRequiredException`。
1. 您的应用程序发出 `ForgotPassword` API 请求并重置用户的密码。
1. 应用程序在 `ForgotPassword` API 请求中提交用户名。
1. Amazon Cognito 向经过验证的电子邮件或电话发送代码。目标取决于您在 CSV 文件中为 `email_verified` 和 `phone_number_verified` 提供的值。对 `ForgotPassword` 请求的响应指明了代码的目标。
**注意**
必须将您的用户池配置为验证电子邮件或电话号码。有关更多信息,请参阅 [注册并确认用户账户](signing-up-users-in-your-app.md)。
1. 您的应用程序向用户显示一条消息,以检查发送代码的位置,并提示用户输入代码和新密码。
1. 用户在应用程序中输入代码和新密码。
1. 应用程序在 `ConfirmForgotPassword` API 请求中提交代码和新密码。
1. 您的应用程序重定向用户以进行登录。