我是AWS的新手... 我们拥有本地用户认证和授权。 我们以公司术语定义授权(角色),角色1允许您执行任务1和任务2。 Role2只允许一个人执行任务3。
我可以看到如何使用Cognito进行用户/密码管理。 不清楚我是否使用Cognito进行角色验证(即授权)。
有想法吗?
答案 0 :(得分:1)
在Cognito用户池中,可以定义“用户”和“组”,可以利用它们来驱动细粒度的RBAC许可。您可以在用户模型中定义一个自定义属性(例如“部门”或“角色”),然后将此属性映射到网上论坛。
https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html
每个组都可以选择与IAM角色相关联,因此可以按组限制对AWS资源(例如,某些DynamoDB表)的访问-作为附加的安全层。
但是,如果您不需要/不想将用户映射到不同的IAM角色,则可以完全从应用程序内部处理身份验证。