ТЛ;dr: Какова цель возможности добавления пользователей в несколько групп в пуле пользователей, если группа с более высоким приоритетом перекрывает роль группы с более низким приоритетом?(Вместо распределения ролей)
Ситуация: пользовательский пул Cognito с 2 группами.Группа «А» имеет роль с полным доступом к «Динамо» с приоритетом 10 Группа «Б» имеет роль с полным доступом к «Эластичному поиску» с приоритетом 9
Если я добавлю пользователя в одну из групп в одиночкувсе работает как положено.
Однако, если я добавлю пользователя в группы «A» и «B», я ожидаю, что у него будут разрешения от обеих групп.Однако, похоже, что документированная функциональность гласит, что у пользователя будут только разрешения от группы «B».Если это так, то какова цель добавления пользователей в несколько групп?
Я предположил, что целью добавления пользователей в несколько групп будет наличие стека ролей вместо перезаписи.Таким образом: группа А может иметь номера 1, 2, 3 с приоритетом 10, группа Б может иметь номера 4,5,6 с приоритетом 9, группа С может иметь номера 1 с разрешением DENY 1 с приоритетом 8
Итак: кто-тов A и B будут иметь перми 1,2,3,4,5,6 Кто-то в A, B и C будет иметь перми 2,3,4,5,6
Однако в действительности: кто-то вА и В имеют разрешенные документы 4,5,6 Кто-то в А, В и С не имеет разрешений