В настоящее время мы работаем над пересмотром авторизации и работаем над использованием Cognito для обеспечения этой функции.Мы дошли до того, что шлюзы API были защищены с помощью авторизации AWS_IAM.Пользовательские пулы Cognito основаны на ролях, разделенных по группам, которые в Identity Pool предоставляют политику IAM в виде временных учетных данных.
Однако мы также обязаны защищать наш бэкэнд ALB и разрешать пользователям только соответствующие разрешения.чтобы получить доступ к ресурсам там.Мы хотим, чтобы это было так же детально, как и решения для API Gateway и S3 (которые мы также работали и тестировали).Но мы изо всех сил пытаемся решить, как достичь этого с ALB, поскольку авторизация ALB, похоже, полагается на пул пользователей, а не на пул удостоверений.Это проблема, с которой мы столкнулись, поскольку кажется, что области, которые предоставляет пул пользователей, не гранулированы, поскольку все пользователи получат одинаковые области.Есть ли способ авторизовать доступ к ресурсам ALB, используя вместо этого роли IAM, предоставленные пулом идентификации?