В официальной документации AWS о Cognito в наброске сценария использования указано, что:
1. На первом шаге пользователь вашего приложения входит черезпул пользователей и получает токены пула пользователей после успешной аутентификации.
2. Далее ваше приложение обменивает токены пула пользователей на учетные данные AWS через пул удостоверений.
3. Наконец, пользователь вашего приложениязатем можно использовать эти учетные данные AWS для доступа к другим службам AWS, таким как Amazon S3 или DynamoDB.
Не является ли целью присвоение «учетных данных AWS» с помощью токенов, достигнутых с помощью STS ?
В чем именно заключаются различия в сфере предоставления доступа пользователям, не являющимся AWS, к сервисам AWS (скажем, S3 или EC2) среди Cognito и STS?
В том же источнике документации также говорится, чтоCognito также подходит для федерации удостоверений между AWS и сторонним поставщиком удостоверений (например, социальным - например, Facebook - или корпоративным AD).
Разве это не так?получено через федерацию SAML (то есть, когда AWS и IdP сначала устанавливают доверительные отношения на основе SAML?)