У меня есть корпоративный Quicksight, и пользователи используют электронную почту нашей компании для регистрации учетной записи (например, john.doe@mycompany.com). Мы используем Gmail для бизнеса.
С другой стороны, мы разработали еще одно приложение, поддержанное пулом пользователей AWS Cognito, использующим Google в качестве провайдера идентификации, и, поскольку это та же самая база пользователей, мы намеревались использовать этот же пул пользователей для доступа к Quicksight. Кроме того, мы разработаем лямбду, которая синхронизировала бы ассоциацию групп пользователей Cognito с членством в Quicksight, если / когда это необходимо.
Я следовал примеру, описанному здесь https://aws.amazon.com/blogs/big-data/use-amazon-quicksight-federated-single-sign-on-with-amazon-cognito-user-pools/,, но проблема в том, что даже если я вхожу в систему как разные пользователи, я получаю доступ к Quicksight через одну и ту же роль IAM. У пользователя Quicksight, связанного с этой ролью, есть определенное имя пользователя, начинающееся с CognitoQuickSight1-AuthRole-KX4Y16..., и адрес электронной почты, связанный с пользователем, которого я использовал при первом входе в систему.
Теперь мне интересно, можно ли в этой настройке даже иметь разные роли, связанные с разными пользователями, чтобы их можно было дифференцировать на стороне Quicksight? Или есть другой способ добиться этого?