我创建了两个名为";管理员";以及";编辑器";其又如预期的CCD_ 1那样创建IAM角色。这些IAM角色没有附加任何策略,当用户成为该组的成员时,似乎会完全忽略他们作为非组用户通过默认authRole授予的任何权限。
我希望authRole应用于任何经过身份验证的人,并且我的管理员/编辑组提供额外的权限。如果这是它的工作方式,那么我将在其他地方已经存在的CloudFormation模板中生成自定义策略,并且它们需要是动态的才能适用于多个环境/桶等,这是一种平衡。
我处理这个问题是错误的还是误解?这种行为看起来很奇怪。
感谢
使用Amazon Cognito用户池(而非身份池(时,当您创建组并指定IAM角色时,其权限由组的关联IAM角色决定。
如果我错了,请纠正我,但当你说:I would expected the authRole to be applied to anyone who is authenticated and my admins/editors group to provide additional permissions.时
此authRole是在标识池中为所有已授权用户定义的IAM角色。您可以控制在身份池的设置中选择哪个角色。
此答案中的更多信息:AWS Cognito角色:区分联合身份池角色和用户池组角色