我正在尝试构建一个可帮助用户监督/管理其AWS资源的应用程序,因此需要访问他们的 AWS凭据。
通常这是通过某种OAuth接口完成的,但我所看到的只是对Cognito的引用,Cognito似乎主要用于向浏览器提供我的 AWS凭据。
如何设置注册流程,用户可以授予我的应用程序代表他们使用AWS凭据的权限?
为了它的价值,我在node.js工作,虽然我不是在寻找nodejs特定的信息
答案 0 :(得分:1)
如果您还不熟悉IAM和AWS政策,则需要熟悉它们。
选项一是要求客户生成具有最小所需权限的访问密钥...(或提供生成此类密钥的脚本,这样的脚本很容易实现)。这是你的选择吗?
我从未尝试在用户帐户之间使用cognito,但似乎可以使用类似于此处所述的方法:http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html 对于这种方法,您仍然需要在'客户'侧。
此处类似:http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
总结一下,我相信挑战是为顾客提供一个简单,无痛的'和透明的方式与您分享最低要求的权限... 与其他人共享管理员级别的帐户可能会花费很多钱,所以这可能并不容易......