用户组多租户最佳实践

当您的架构需要带有身份池的 Amazon Cognito 用户池时，基于群组的多租户效果最佳。

用户池 ID 和访问令牌包含cognito:groups声明。此外，ID 令牌包含cognito:roles和cognito:preferred_role声明。当您的应用程序中身份验证的主要结果是来自身份池的临时 AWS 证书时，您的用户的群组成员资格可以决定他们获得的IAM角色和权限。

例如，假设三个租户，每个租户都将应用程序资产存储在自己的 Amazon S3 存储桶中。将每个租户的用户分配到关联的群组，为该群组配置首选角色，并授予该角色对其存储桶的读取权限。

下图显示租户共享应用程序客户端和用户池，以及用户池中用于确定其IAM角色资格的专用群组。

何时实施群组多租户

当 AWS 资源访问是您的首要考虑时。Amazon Cognito 用户池中的群组是一种基于角色的访问控制机制 ()。RBAC您可以在用户池中配置多个群组，并根据群组优先级做出复杂的RBAC决策。身份池可以为优先级最高的角色、群组中的任何角色或用户令牌中的其他声明分配凭证。

工作量水平

仅凭群组成员资格，维护多租户的工作量很低。但是，要将用户池组的角色扩展到内置的IAM角色选择容量之外，您必须构建应用程序逻辑来处理用户令牌中的组成员资格，并确定在客户端中执行的操作。您可以将 Amazon 验证权限与您的应用程序集成，以做出客户端授权决策。当前未在已验证权限IsAuthorizedWithTokenAPI操作中处理群组标识符，但您可以开发解析令牌内容的自定义代码，包括群组成员资格声明。