Я реализовал аутентификацию на основе пула пользователей Cognito для шлюза API.
Я хочу предоставить доступ к определенным ресурсам AWS на основе пользователя Cognito.
В соответствии с приведенной ниже ссылкой, я планирую реализовать процесс создания / аутентификации пользователя.
https://aws.amazon.com/premiumsupport/knowledge-center/cognito-user-pool-group/
Поток создания пользователя
Для каждого пользователя я планирую создать нового пользователя Cognito.
Будет создана новая роль IAM.
Будет создана новая группа пользователей Cognito с этой ролью IAM.
Пользователь Cognito будет добавлен в эту группу.
Поток аутентификации пользователя
После аутентификации пользователя он будет использовать токен ID для последующих вызовов API.
На основе этого токена ID будут извлечены имя пользователя и роли IAM.
Функция Lambda возьмет на себя эту роль и выполнит код.
Существуетмягкое ограничение 300, на количество групп, которые могут быть созданы для пула пользователей Cognito.
Запросы -
Есть ли лучше /оптимизированный поток, который можно использовать для реализации?
Можно ли назначить роль IAM для каждого пользователя Cognito, не создавая новую "группу" пользователей Cognito?
Я предполагаю, что это мягкое ограничение в 300 на количество групп пользователей в пуле пользователей можно увеличить, отправив запрос в AWS.