我已经为API网关实现了基于Cognito用户池的身份验证。
我想提供基于Cognito用户的对特定AWS资源的访问权限。
根据下面的链接,我正在考虑实现用户创建/身份验证流程。
https://aws.amazon.com/premiumsupport/knowledge-center/cognito-user-pool-group/
用户创建流程
我计划为每个用户创建一个新的Cognito用户。
将创建一个新的IAM角色。
将使用该IAM角色创建一个新的Cognito用户组。
Cognito用户将被添加到该组中。
用户身份验证流程
用户通过身份验证后,用户将使用ID令牌进行后续API调用。
基于此ID令牌,将提取用户名和IAM角色。
Lambda函数将担任此角色并执行代码。
每个Cognito用户池可以创建的组数有300个软限制。
查询-
是否有任何更好/优化的流程可用于实施?
是否可以为每个Cognito用户分配一个IAM角色,而无需创建新的Cognito用户“组”?
我假设,可以通过向AWS发送请求来增加每个用户池的300个用户组软限制。