Рекомендации по получению временных учетных данных роли IAM

Question

У нас есть внешнее приложение, находящееся за пределами сети Amazon, и оно должно получить доступ к нашему SQS и отправить туда сообщение, чтобы наш ресурс AWS распознал запрос от этого приложения, которому необходимо подписать свой запрос с учетными данными мне хотелось бы знать, какую роль IAM мы создали для внешнего приложения для получения временных учетных данных? Я пытался реализовать его с помощью Amazon Cognito, но похоже, что Cognito больше подходит для сценария ios, например, регистрация пользователя и вход с пользовательским интерфейсом, у кого-нибудь есть предложения? Заранее спасибо.

Answer 1

Чтобы иметь возможность получать временные учетные данные, вам нужна форма постоянных учетных данных, которые могут обращаться к временным учетным данным (или создавать их).

Учитывая вашу ситуацию, вы можете рассмотреть вопрос о создании пользователя IAM в ваш аккаунт и передача этих учетных данных третьим лицам. Предоставьте соответствующие разрешения этим учетным данным, и они смогут использовать их напрямую с Amazon SQS.

Или, если вы не хотите передавать учетные данные IAM третьим сторонам, вы можете попросить их для создания учетной записи AWS и пользователя IAM . Затем вы можете предоставить их пользователям IAM доступ к очереди Amazon SQS.

Другой вариант заключается в том, что сторонний пользователь может получить доступ к приложению или API, которые вы предоставите. После проверки подлинности вы можете предоставить временные учетные данные, созданные с помощью службы маркеров безопасности . Cognito будет вариантом для выполнения этой аутентификации, а также может предоставлять учетные данные для связанной роли IAM, предоставляя им доступ к очереди Amazon SQS.