AWS Cognito 角色:区分联合身份池角色和用户池组角色
AWS Cognito role: Distinguish between Federated Identity Pool roles and User Pool Group roles
我有一个应用程序,其中我希望 2 种类型的用户属于同一个用户池。他们都使用相同的 AWS Cognito 联合身份池进行身份验证。第一类用户,经理,应该能够看到他们组中的所有其他用户并更改他们的属性。第二种类型,Employee,应该只能 see/change 自己的属性,更改自己的密码,忘记自己的密码等。我想这种特定情况需要一些策略 "magic" 来创建 2 个角色,每个都有不同级别的权限。我认为每个角色都将分配给不同的组,经理组获得更多 power/permissions。但是我对联合身份池和用户池组中角色分配的冗余感到困惑。
- AWS Cognito 联合身份池有 3 个角色说明符:"Unauthenticated role"、"Authenticated role",对于身份验证提供程序,"Authenticated role (selection)."
- AWS Cognito 用户池组允许您指定 IAM 角色。
身份池和组在权限方面有什么关系?
如果您正在使用组并向其附加角色,则您可以选择使用令牌中提供的角色。默认情况下,无论何时登录,都会使用经过身份验证的角色(或未经身份验证的角色,如果您已激活)。您可以通过打开联合身份池并更改认知用户池(我假设是您的身份提供者)下的此设置来更改此行为.
Select "choose role from token" 使用您附加到用户所属组的角色。
我有一个应用程序,其中我希望 2 种类型的用户属于同一个用户池。他们都使用相同的 AWS Cognito 联合身份池进行身份验证。第一类用户,经理,应该能够看到他们组中的所有其他用户并更改他们的属性。第二种类型,Employee,应该只能 see/change 自己的属性,更改自己的密码,忘记自己的密码等。我想这种特定情况需要一些策略 "magic" 来创建 2 个角色,每个都有不同级别的权限。我认为每个角色都将分配给不同的组,经理组获得更多 power/permissions。但是我对联合身份池和用户池组中角色分配的冗余感到困惑。
- AWS Cognito 联合身份池有 3 个角色说明符:"Unauthenticated role"、"Authenticated role",对于身份验证提供程序,"Authenticated role (selection)."
- AWS Cognito 用户池组允许您指定 IAM 角色。
身份池和组在权限方面有什么关系?
如果您正在使用组并向其附加角色,则您可以选择使用令牌中提供的角色。默认情况下,无论何时登录,都会使用经过身份验证的角色(或未经身份验证的角色,如果您已激活)。您可以通过打开联合身份池并更改认知用户池(我假设是您的身份提供者)下的此设置来更改此行为.
Select "choose role from token" 使用您附加到用户所属组的角色。