Вопрос
Уточните, как пользователь в AWS может выполнять роль IAM.Это сбивает с толку, потому что кажется, что user / identity в AWS может отличаться в зависимости от контекста, такого как, пользователь IAM, пользователь Cognito User Pool, федеративный пользователь Cognito.
Background
Попытка понять отношения между пользователями и идентичностями в AWS и как каждый пользователь может взять на себя роль IAM.
Также в AWS пользователь / не прошедший проверку подлинности и удостоверение личности (прошедший проверку пользователя) кажутся разными понятиями, и оба могут выполнять роль IAM, следовательно, выглядит authenticated не является обязательным условием для принятия роли IAM, что также сбивает меня с толку.
- IAM User / Identity (identity = пользователь, аутентифицированный, например, через AWSCLI с идентификатором AWS / секретом)
- пул пользователей Cognito пользователь / идентификатор (аутентифицирован)
- пул федеративных идентификаторов Cognito пользователь / идентификатор (аутентифицирован)
- Существуют ли другие типы пользователей?
Пользователь IAM (прошедший проверку подлинности)
Я считаю, что это удостоверение личности пользователь определяется при входе в консоль AWS или через CLI / SDK с идентификатором / секретным ключом доступа AWS.Этот пользователь может взять на себя роль IAM путем переключения на роль (Консоль управления AWS) или программно предположить роль с CLI / SDK.Это правильно?
Пользователь пула пользователей Cognito
Я считаю, что пользователь существует в Cognito только в учетной записи AWS и не имеет ничего общего с пользователем IAM .В настоящее время невозможно сопоставить пользователя IAM с пользователем Cognito (ни с пулом пользователей, ни с федеративным пулом удостоверений), как в Добавить пользователей AWS IAM в AWS Cognito Pool .
Похоже, есть несколько способов назначить роль IAM для пула пользователей Cognito пользователь или удостоверение личности (аутентифицированный пользователь) .
Один из способов - назначить роль IAM группе пользователей Cognito, в которую добавляются пользователи.Аутентифицированный пользователь в группе пулов пользователей может автоматически выполнять роль IAM.
Другой способ - использовать федеративный пул идентификации Cognito путем объединения сПул пользователей Cognito и назначение роли IAM для пула федеративных удостоверений.В этом случае пользователь / идентификатор Cognito User Pool (аутентифицированный) эквивалентен пользователю / идентификатору Cognito Federated Identity Pool (аутентифицированный).
Я предполагаю, что пользователь будет аутентифицирован с помощью рабочего процесса Cognito User Pool черезCognito Федеративный идентификационный пул.Затем пользователь может принять обе роли IAM, сопоставленные с группой пула пользователей Cognito И роль IAM, сопоставленную с федеративной идентификацией Cognito (прошедшей проверку подлинности).
Правильны ли они, или пользователь сможет принять только одну из ролей IAM?Что делать, если в организации AWS несколько учетных записей.Должна ли каждая учетная запись создавать свой пул пользователей Cognito для управления одним и тем же набором пользователей или иметь один пул пользователей Cognito в учетной записи и совместно использовать пул пользователей Cognito между учетными записями с помощью идентификаторов Fognated Cognito, указывающих на пул пользователей?
Пользователь федеративного пула идентификации Cognito
Если федерация не с Cognito, например с Facebook, тогдаCognito Federated Identity Pool пользователь / идентификатор не имеет никакого отношения к пользователю / идентификатору Cognito User Pool, а пользователь принадлежит Facebook.Пользователь может принять роль IAM, сопоставленную с Cognito Federated Identity Pool, даже если она не аутентифицирована.Это правильно?
Справка
Я изучал видео AWS Re: Invent, документацию AWS, но трудно понять термины и значения Cognito.Если есть четкие, простые, интуитивно понятные объяснения, просьба предоставить ссылки.