【发布时间】:2021-06-15 19:21:17
【问题描述】:
我创建了几个名为“admins”和“editors”的 Cognito 用户组,它们又按预期创建了 IAM 角色{USERPOOLID}-adminsGroupRole。这些 IAM 角色没有附加任何策略,当用户成为该组的成员时,似乎完全忽略了他们作为非组用户通过默认 authRole 授予的任何权限。
我希望 authRole 应用于任何经过身份验证的人和我的管理员/编辑组以提供额外的权限。如果这是它的工作方式,那么我预计会在我的 CloudFormation 模板中生成已经存在于其他地方的自定义策略,并且它们需要是动态的以适用于多个环境/存储桶等。这是一个问题。
我是在接近这个错误或误解吗?这种行为看起来很奇怪。
谢谢
【问题讨论】:
-
从技术上讲,用户一次只能担任一个角色。由您决定是哪一个(组或身份池)。您可以在此处找到有关 Cognito 如何决定使用哪个角色的更多信息:docs.aws.amazon.com/cognito/latest/developerguide/…
标签: amazon-web-services amazon-cognito aws-amplify