Аутентификация API-шлюза: AWS sigv4 против JWT пула пользователей Cognito

Question

Когда я использую API-шлюз для определения своих конечных точек, некоторые из моих конечных точек доступны только зарегистрированному пользователю.(Я использую Cognito User Pool для управления моими пользователями)

Я вижу разные способы достижения этой цели

1. SigV4, см. Page 19 ;

2. токен JWT из пула пользователей Cognito, см. Page 23

Сейчас я использую опцию 2, ноЯ не понимаю, когда мне следует использовать вариант 1. По сути, это просто разные подходы для достижения одной и той же цели или они разные?

Answer 1

Хотя с небольшим усилием их можно использовать «взаимозаменяемо», за каждым стоит другое предназначение:

• SigV4 предназначен для кого-то, имеющего доступ к пользователю / роли IAM в вашейАккаунт AWS.
• Cognito / JWT предназначен для того, чтобы позволить вам создать группу пользователей и управлять ими отдельно от пользователей вашей учетной записи AWS (т. Е. В Cognito), а также механизм проверки этих идентификаторов.

Для большинства применений API-шлюзов я бы ожидал, что Cognito (или API-ключи) будет лучшим вариантом.Хотя существуют архитектурные шаблоны, в которых вы предоставляете своим пользователям API прямой доступ к ресурсам вашей учетной записи с помощью временных учетных данных IAM.