Práticas recomendadas de multilocação em conjuntos de grupos de usuários - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de multilocação em conjuntos de grupos de usuários

A multilocação baseada em conjunto funciona melhor quando sua arquitetura exige grupos de usuários do Amazon Cognito com bancos de identidades.

Os tokens de ID e acesso do grupo de usuários contêm uma reivindicação cognito:groups. Além disso, os tokens de ID contêm reivindicações cognito:roles e cognito:preferred_role. Quando o resultado principal da autenticação na aplicação são credenciais da AWS temporárias de um banco de identidades, as associações de conjuntos de usuários podem determinar o perfil do IAM e as permissões que eles recebem.

Como exemplo, considere três locatários, em que cada um armazena ativos de aplicações em seu próprio bucket do Amazon S3. Atribua os usuários de cada locatário a um grupo associado, configure um perfil preferencial para o grupo e conceda a esse perfil acesso de leitura ao bucket.

O diagrama a seguir mostra inquilinos que compartilham um cliente de aplicação e um grupo de usuários, com grupos dedicados no grupo de usuários que determinam sua elegibilidade para um perfil do IAM.

Um diagrama de um modelo de many-to-one multilocação em que cada inquilino tem seu próprio grupo de usuários em um grupo de usuários compartilhado.
Quando implementar a multilocação de conjuntos

Quando o acesso aos AWS recursos é sua principal preocupação. Os grupos de usuários do Amazon Cognito são um mecanismo de controle de acesso baseado em função (RBAC). Você pode configurar vários conjuntos em um grupo de usuários e tomar decisões complexas de RBAC com prioridade de conjunto. Os bancos de identidades podem atribuir credenciais para a função com a maior prioridade, qualquer função na reivindicação de conjuntos ou de outras reivindicações nos tokens de um usuário.

Nível de esforço

O nível de esforço para manter a multilocação apenas com a participação em conjuntos é baixo. No entanto, para expandir a função dos conjuntos de grupos de usuários além da capacidade integrada de seleção de perfis do IAM, você deve criar uma lógica de aplicação que processe a associação de conjunto nos tokens dos usuários e determine o que fazer no cliente. Você pode integrar o Amazon Verified Permissions às aplicações para tomar decisões de autorização do lado do cliente. Atualmente, os identificadores de grupo não são processados nas operações IsAuthorizedWithTokenda API de permissões verificadas, mas você pode desenvolver um código personalizado que analise o conteúdo dos tokens, incluindo declarações de associação a grupos.