我正在考虑使用Cognito以及专门用于管理授权的组。
由于每个帐户有25个组的软限制,因此我质疑使用组的真正价值,而不是仅在Cognito中添加自定义角色属性并以此方式分配角色。我认为,从角色池中获取AWS IAM信用的调用仍然可以工作。那么,使用组的主要价值仅仅是为了简化通过控制台管理用户角色的映射?
如果是这样,似乎简单使用自定义属性可能会更好。
答案 0 :(得分:0)
在Cognito中使用默认/本地组的好处之一是AWS AppSync在字段级别支持架构定义的权限。这对于某些用例可能很好,但是如果不是您自己的用例,那就没关系了。您可以期望来自AWS的更多服务将来会采用这种集成。
如果您的Cognito用户池存在多租户的情况,则还应考虑使用多个池,因为这是完全分隔租户的唯一方法(例如,在大多数情况下,您始终需要整体唯一的电子邮件地址)。