我可以从Cognito作为IAM用户登录吗？

Question

Isit可以从Cognito作为IAM用户登录吗？我正在创建一个可以实现AWS管理功能的工具，我希望用户能够以理想的方式作为他们的IAM用户登录。这可能吗？

2的替代品，我考虑的是：

• 应用程序都会有自己的IAM凭据，并代表应用程序的用户执行操作。用户将通过Cognito登录并继承IAM角色，但其仍然具有2个“IAM用户”（1个Cognito + 1个IAM用户）对于1“真实”用户

这两个更好，有没有更好的方法？

Answer 1

您可以使用AWS Cognito和新引入的用户组功能实现您的目的，该功能允许您为用户组承担不同的IAM角色。

对于使用AWS无服务器堆栈的实现，您可以使用API​​网关IAM授权程序并将角色传递给Lambda以使用假定的角色权限执行代码。另一种方法是让不同的API端点为AWS管理访问权提供不同的权限，您可以使用假定的角色IAM策略（策略授权API网关资源访问权）通过API网关对访问进行授权。在这里，您可以为Lambda分配不同的IAM角色。