我们目前正在对授权进行大修,并且一直在努力使用Cognito提供此功能。我们已经指出,API网关已使用AWS_IAM授权保护。 Cognito用户池基于按组划分的角色,身份池通过身份池以临时证书的形式提供IAM策略。
但是,我们还需要保护ALB后端的安全,并仅允许具有相关权限的用户访问那里的资源。我们希望它与API Gateway和S3的解决方案一样粒度(我们也已经在工作并且已经对其进行了测试)。但是我们正在努力解决如何使用ALB实现此问题,因为ALB授权似乎依赖于用户池而不是身份池。这是我们遇到的问题,因为用户池提供的范围似乎并不精确,因为所有用户都将收到相同的范围。无论如何,是否有使用身份池提供的IAM角色来授权对ALB资源的访问?