Amazon Cognito напрямую не поддерживает генерацию JWT Token для нескольких учетных записей.
Однако вы реализуете боковой способ для достижения этого варианта использования.Вы можете использовать Cognito Identity Pool на «Master» для создания временных учетных данных AWS, которые могут использоваться «региональной» учетной записью для выполнения вызовов API Cognito User Pool.Не рекомендуется внедрять такую боковую систему для производственного применения, поскольку она имеет свою долю подводных камней.Amazon Cognito также не предлагает никаких API или функций для резервного копирования пула пользователей.
Если вы решите реализовать рекурсивный подход, я бы рекомендовал начать с глубокого понимания различий между пулами пользователей и пулами идентификации.Я написал статью для того же самого, которая объясняет разницу.Затем вы можете использовать свой Identity Pool и RBAC для косвенного использования другого пула пользователей.
Другой боковой способ, которым я могу придумать, - это использование AWS Lambda и безопасная загрузка учетных данных для «основной» учетной записи при использовании управляемой службы безопасности AWS, такой как AWS Secrets Manager или SSM Parameter Store.
В любом случае, как можно заключить, не существует прямого способа заставить этот вариант использования работать, и боковой обход / взлом - единственный способ сделать это.