我一直在使用AWS cognito创建用户并颁发访问令牌。我是通过设置自定义域(登录)并允许隐式代码授予等来实现此目的的。
接下来,我设置一个身份池,该身份池允许通过cloudfront访问s3对象。然后,我使用ID和客户端ID将用户池添加为提供程序。
我进入我的oauth域,登录,然后在URL中获得了访问令牌。一切都很好。
我终于向原始Cloudfront域发送了一个请求,以尝试访问我的私有s3对象。但是,该请求是不允许的。
这使我有几个问题:
如何将访问令牌与IAM角色相关联? AWS是否不提取访问令牌并将IAM角色自动添加到请求中?我是否需要再次向身份池发出请求以获取具有IAM角色信息的另一个令牌?
我是否必须将自定义授权者放在Cloudfront的前面,例如Authorization @ Edge?
我也有ALB和lambda函数。是否需要为每个请求添加自定义授权者,以将访问令牌转换为每个请求的IAM角色。有一种通用的方式吗?
谢谢。