Блог

Я ищу совет о том, как хранить пользовательские разрешения в AWS Cognito.

Если мы сохраняем пользователей в Cognito и настраиваем, например, 2 группы (роли):

• admin
• read-only

И хотел бы назначить некоторые разрешения группе / роли:

• users/create
• users/delete
• users/read

Итак, они доступны в токене.

Возможно ли выполнить подобную мелкозернистую авторизацию с помощью Cognito или это должно быть реализовано другим способом — например, в базе данных, где мы запрашиваем разрешения пользователей без использования Cognito для этого?

Приветствуется любая помощь?

Это, безусловно, возможно с Cognito. Вы можете создать 2 группы, как вы упомянули, администратор и только для чтения. С каждой группой связана отдельная роль, которой вы можете назначить необходимые политики. После этого создайте пул удостоверений cognito и привяжите к нему свой пользовательский пул. В разделе Поставщики аутентификации обязательно выберите «Выбрать роль из токена». Для разрешения роли вы можете либо присвоить ей роль по умолчанию, либо просто ЗАПРЕТИТЬ доступ.