>有人向我暗示,他们无法解释为什么有人会从浏览器调用STS的AssumeRole API。
我告诉他们我在多个帐户中拥有资源以减少爆炸半径等,但我仍然希望我的 Cognito 应用程序客户端能够访问这些资源。
在浏览器中使用 STS 是一种反模式吗?
我的公司就是这种情况,因为:
所有用户帐户都是在主帐户上创建的。 公司帐户
所有部门管理都有自己的部门帐户
每当公司的IT人员想要列出/更新/删除用户帐户时,他们应该能够这样做,而无需访问部门的帐户。
此外,每个部门的账单也将非常清楚(拆分为多个AWS账户的原因(