Считается ли анти-паттерном Auth * вызов API AssumeRole из контекста браузера, и если да, то почему?

Question

Кто-то намекал мне, что для них было необъяснимо, почему кто-либо когда-либо будет вызывать API-интерфейс AssumeRole STS из браузера.

Я сказал им, что у меня есть ресурсы в нескольких учетных записях для уменьшения радиуса взрыва и т. Д., Но явсе еще хочу, чтобы клиенты моего приложения Cognito имели доступ к этим ресурсам.

Является ли это анти-паттерном для использования STS в браузере?

Answer 1

Это было так для моей корпорации, потому что:

Все учетные записи пользователей были созданы на главной учетной записи. корпоративная учетная запись

У всех отделов управления есть свои собственные учетные записи отдела

Всякий раз, когда ИТ-специалист корпорации хочет перечислить / обновить / удалить учетную запись пользователя, он может сделать это бездоступ к учетной записи отделов.

Кроме того, для каждого отдела будет очень понятным выставление счетов (причина разделения на несколько учетных записей AWS)