AWS - тип пользователей и как они могут взять на себя роль IAM - PullRequest
0 голосов
/ 28 мая 2018

Вопрос

Уточните, как пользователь в AWS может выполнять роль IAM.Это сбивает с толку, потому что кажется, что user / identity в AWS может отличаться в зависимости от контекста, такого как, пользователь IAM, пользователь Cognito User Pool, федеративный пользователь Cognito.

Background

Попытка понять отношения между пользователями и идентичностями в AWS и как каждый пользователь может взять на себя роль IAM.

Также в AWS пользователь / не прошедший проверку подлинности и удостоверение личности (прошедший проверку пользователя) кажутся разными понятиями, и оба могут выполнять роль IAM, следовательно, выглядит authenticated не является обязательным условием для принятия роли IAM, что также сбивает меня с толку.

  1. IAM User / Identity (identity = пользователь, аутентифицированный, например, через AWSCLI с идентификатором AWS / секретом)
  2. пул пользователей Cognito пользователь / идентификатор (аутентифицирован)
  3. пул федеративных идентификаторов Cognito пользователь / идентификатор (аутентифицирован)
  4. Существуют ли другие типы пользователей?

Пользователь IAM (прошедший проверку подлинности)

Я считаю, что это удостоверение личности пользователь определяется при входе в консоль AWS или через CLI / SDK с идентификатором / секретным ключом доступа AWS.Этот пользователь может взять на себя роль IAM путем переключения на роль (Консоль управления AWS) или программно предположить роль с CLI / SDK.Это правильно?


Пользователь пула пользователей Cognito

Я считаю, что пользователь существует в Cognito только в учетной записи AWS и не имеет ничего общего с пользователем IAM .В настоящее время невозможно сопоставить пользователя IAM с пользователем Cognito (ни с пулом пользователей, ни с федеративным пулом удостоверений), как в Добавить пользователей AWS IAM в AWS Cognito Pool .

Похоже, есть несколько способов назначить роль IAM для пула пользователей Cognito пользователь или удостоверение личности (аутентифицированный пользователь) .

Один из способов - назначить роль IAM группе пользователей Cognito, в которую добавляются пользователи.Аутентифицированный пользователь в группе пулов пользователей может автоматически выполнять роль IAM.

enter image description here

Другой способ - использовать федеративный пул идентификации Cognito путем объединения сПул пользователей Cognito и назначение роли IAM для пула федеративных удостоверений.В этом случае пользователь / идентификатор Cognito User Pool (аутентифицированный) эквивалентен пользователю / идентификатору Cognito Federated Identity Pool (аутентифицированный).

Я предполагаю, что пользователь будет аутентифицирован с помощью рабочего процесса Cognito User Pool черезCognito Федеративный идентификационный пул.Затем пользователь может принять обе роли IAM, сопоставленные с группой пула пользователей Cognito И роль IAM, сопоставленную с федеративной идентификацией Cognito (прошедшей проверку подлинности).

Правильны ли они, или пользователь сможет принять только одну из ролей IAM?Что делать, если в организации AWS несколько учетных записей.Должна ли каждая учетная запись создавать свой пул пользователей Cognito для управления одним и тем же набором пользователей или иметь один пул пользователей Cognito в учетной записи и совместно использовать пул пользователей Cognito между учетными записями с помощью идентификаторов Fognated Cognito, указывающих на пул пользователей?enter image description here


Пользователь федеративного пула идентификации Cognito

Если федерация не с Cognito, например с Facebook, тогдаCognito Federated Identity Pool пользователь / идентификатор не имеет никакого отношения к пользователю / идентификатору Cognito User Pool, а пользователь принадлежит Facebook.Пользователь может принять роль IAM, сопоставленную с Cognito Federated Identity Pool, даже если она не аутентифицирована.Это правильно?

enter image description here


Справка

Я изучал видео AWS Re: Invent, документацию AWS, но трудно понять термины и значения Cognito.Если есть четкие, простые, интуитивно понятные объяснения, просьба предоставить ссылки.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...