Пожалуйста, подтвердите или исправьте мое понимание того, что Федерация пула идентификации Cognito делает.
- Пул идентификации Cognito делает сопоставления между провайдером идентификации Временный токен и роль IAM учетной записи AWS . С помощью которого учетная запись поставщика удостоверений (например, учетная запись Google, учетная запись Facebook и т. Д. c) может использовать ресурсы AWS в учетной записи AWS, используя временный AWS STS токен .
- Поставщики удостоверений обеспечивают пользователей и аутентификацию пользователей. Это Google, Facebook и т. Д. c, а Cognito Userpool - еще один поставщик удостоверений AWS.
- пользователи в AWS Identity Provider (Userpool) не имеют никакого отношения к пользователям и группам учетных записей IAM.
Лично я считаю, что предложение собственной службы провайдера идентификации (Userpool) AWS и федерации провайдера идентификации (Identity Pool) в рамках того же AWS Cognito вызывает неурядицы.
Особенно с использованием той же терминологии, такой как Пользователь , Группа , Федерация для различных значений в зависимости от контекста, но оба под "AWS Cognito».
Пользователь и group в AWS Cognito Userpool не имеет ничего общего с пользователем и группой AWS Account. Федерация в AWS Cognito Userpool должен передать процесс аутентификации поставщику удостоверений, тогда как Федерация в AWS Cognito Identity Pool сопоставляет токен поставщика удостоверений (... или user ) для роли IAM.
Cognito Userpool AWS CLI - это cognito- idp , который можно спутать с «IDentity Pool», но это «IDentity Provider» ».
Cognito Identity Pool AWS CLI является cognito- identity , но identity управляется провайдерами идентификации, которыми AWS Cognito Userpool является.
Ссылки