Роль AWS Cognito: различение ролей федеративного пула удостоверений и групп пользователей пула

Question

У меня есть приложение, в котором я хочу, чтобы 2 типа пользователей принадлежали к одному и тому же пулу пользователей. Все они проходят аутентификацию, используя один и тот же AWS Cognito Federated Identity Pool. Первый тип пользователей, Manager, должен иметь возможность видеть всех других пользователей в своей группе и изменять их атрибуты. Второй тип, Сотрудник, должен иметь возможность только видеть / изменять свои собственные атрибуты, изменять свой собственный пароль, забывать свой собственный пароль и т. Д. Я предполагаю, что этот конкретный случай требует некоторой «магии» политики для создания 2 ролей, каждая с разными уровнями. разрешений. Я полагаю, что каждая роль будет назначена другой группе, а группа Менеджер получит больше полномочий / разрешений. Но меня смущает избыточность назначений ролей в пулах федеративных удостоверений и группах пользователей.

• AWS Cognito Federated Identity Pools имеют 3 спецификатора роли: «Неаутентифицированная роль», «Аутентифицированная роль» и для провайдеров аутентификации «Аутентифицированная роль (выбор)».
• Группы пулов пользователей AWS Cognito позволяют указать роль IAM.

Какая связь между Identity Pools и группами с точки зрения разрешений?

Answer 1

Если вы используете группы и присоединяете к ним роли, вы можете использовать роль, указанную в токене. По умолчанию роль с проверкой подлинности (или роль без проверки подлинности, если она активирована) используется при каждом входе в систему. Это поведение можно изменить, открыв объединенный пул удостоверений и изменив этот параметр в пуле cognito user (который, как я полагаю, является вашим поставщиком удостоверений) ,

Выберите «Выбрать роль из токена», чтобы использовать роль, которую вы прикрепили к группе, к которой принадлежит пользователь.