Praktik terbaik multi-tenancy grup pengguna - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik multi-tenancy grup pengguna

Multi-tenancy berbasis grup berfungsi paling baik saat arsitektur Anda memerlukan kumpulan pengguna Amazon Cognito dengan kumpulan identitas.

ID kumpulan pengguna dan token akses berisi cognito:groups klaim. Selain itu, token ID berisi cognito:roles dan cognito:preferred_role klaim. Jika hasil utama autentikasi di aplikasi Anda adalah AWS kredensil sementara dari kumpulan identitas, keanggotaan grup pengguna Anda dapat menentukan IAMperan dan izin yang mereka terima.

Sebagai contoh, pertimbangkan tiga penyewa yang masing-masing menyimpan aset aplikasi di bucket Amazon S3 mereka sendiri. Tetapkan pengguna setiap penyewa ke grup terkait, konfigurasikan peran yang disukai untuk grup, dan berikan akses baca peran tersebut ke bucket mereka.

Diagram berikut menunjukkan penyewa berbagi klien aplikasi dan kumpulan pengguna, dengan grup khusus di kumpulan pengguna yang menentukan kelayakan mereka untuk suatu peran. IAM

Diagram model many-to-one multi-tenancy di mana setiap penyewa memiliki grup pengguna mereka sendiri dalam kumpulan pengguna bersama.
Kapan menerapkan multi-tenancy grup

Ketika akses ke AWS sumber daya adalah perhatian utama Anda. Grup di kumpulan pengguna Amazon Cognito adalah mekanisme untuk kontrol akses berbasis peran (). RBAC Anda dapat mengonfigurasi banyak grup dalam kumpulan pengguna dan membuat RBAC keputusan kompleks dengan prioritas grup. Kumpulan identitas dapat menetapkan kredensil untuk peran dengan prioritas tertinggi, peran apa pun dalam klaim grup, atau dari klaim lain dalam token pengguna.

Tingkat usaha

Tingkat upaya untuk mempertahankan multi-tenancy dengan keanggotaan kelompok saja rendah. Namun, untuk memperluas peran grup kumpulan pengguna di luar kapasitas bawaan untuk pemilihan IAM peran, Anda harus membangun logika aplikasi yang memproses keanggotaan grup dalam token pengguna, dan menentukan apa yang harus dilakukan di klien. Anda dapat mengintegrasikan Izin Terverifikasi Amazon dengan aplikasi Anda untuk membuat keputusan otorisasi sisi klien. Pengidentifikasi grup saat ini tidak diproses dalam IsAuthorizedWithTokenAPIoperasi Izin Terverifikasi, tetapi Anda dapat mengembangkan kode khusus yang mengurai konten token, termasuk klaim keanggotaan grup.