Я пытаюсь создать веб-приложение, доступное любому пользователю, зарегистрированному в facebook. Я хочу использовать AWS Cognito, чтобы ускорить разработку для управления пользователями.
У него должно быть 3 типа пользователей:
- Обычные пользователи — любой пользователь, который входит в систему с помощью facebook.
- Редакторы — пользователи с другим уровнем доступа (роль IAM?), Они могут вызывать определенную функцию AWS Lambda, которую обычные пользователи не могут вызывать.
- Администраторы — пользователи, которые могут изменять статус обычных пользователей, чтобы сделать их редакторами или администраторами.
Может кто-нибудь указать мне правильное направление? Я настроил пул идентификаторов AWS Cognito, но не уверен, нужно ли мне создавать пул пользователей или как назначить пользователю другую роль или политику, чтобы сделать его администратором или редактором (разные уровни доступа для других Ресурсы AWS), могу ли я получить в своем веб-приложении список пользователей из Cognito (только для аутентифицированного администратора) и как мне разрешить ему изменять роли других пользователей.
Некоторое руководство, документация или хотя бы краткое описание того, как я могу это сделать, мне очень помогли бы.
Необязательно: позволить пользователям регистрироваться не только в facebook, но и по электронной почте / пропуску, и иметь ту же функциональность.
Привет @Cristian, у меня есть подобное требование. Пожалуйста, поделитесь своим решением для этого. Я также планирую использовать Cognito. Спасибо — person Cristian Dan schedule 19.09.2019
Вы должны иметь возможность использовать функцию «Управление доступом на основе ролей» федеративных удостоверений Cognito. Это соответствующая часть документа: https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html
Если вы используете только Facebook, вы можете использовать подписку Facebook для назначения соответствующей роли.
Если вы используете вход на основе имени пользователя и пароля с пулом пользователей, вы можете использовать поддержку группы и создать группу редакторов и назначить соответствующие разрешения.
Вместо того, чтобы управлять администраторами с помощью федеративных удостоверений или пула пользователей, возможно, лучше будет напрямую использовать пользователя IAM. Этот пользователь IAM будет иметь полное разрешение на изменение / добавление правил пула удостоверений или групп пула пользователей.
Значит, администраторы будут пользователями IAM, а редакторы и обычные пользователи будут пользователями Cognito? И каждый администратор будет иметь разрешение изменять политику редакторов, чтобы добавлять в нее идентификаторы пользователей когнитивных данных один за другим? Таким образом, пользователи когнитивного типа, добавленные в политику редактора, будут иметь права редактора. — person Cristian Dan; 06.03.2017
Чтобы уточнить, под «изменением политики редакторов», если вы имели в виду политику на основе правил Cognito, тогда да. — person Cristian Dan; 07.03.2017
Хорошо, итак последние вопросы: 1) это хорошая практика — иметь список идентификаторов (в данном случае редакторов) в политике и продолжать добавлять туда новые? 2) могу ли я ограничить администратора, чтобы он мог разрешить пользователям быть только редакторами и получить доступ к этой лямбда-функции (чтобы они не могли предоставить суперпользователям доступ к обычным пользователям) 3) будет ли это работать так же для зарегистрированных в facebook пользователи и пользователи когнито вошли с логином / паролем? — person Cristian Dan; 07.03.2017
1) Я не вижу другого выхода, если вы пользуетесь Facebook. Если вы используете пулы пользователей Cognito для доступа на основе имени пользователя и пароля, это намного проще, поскольку вам нужно просто добавить пользователя в группу «Редактор». 2) Да, вы можете ограничить права администратора IAM с помощью IAM, и он сможет назначить роль с разрешением только другому пользователю, который является подмножеством его разрешения 3) Да, вы можете использовать механизм на основе правил для обоих, но группы Cognito будут более удобными для пользователя с именем пользователя / паролем. — person Cristian Dan; 07.03.2017