在过去的几年里,我建立了一个基于PHP和MySQL的网站,用户可以在其中提交复制和IT请求。我希望使它基于云的,而不是从本地网络服务器运行它。我最初的想法是为使用我的系统的每家公司运行一个 EC2 实例作为 Web 服务器运行,但由于该系统是基于 PHP 会话的,我认为安全性不会很好,所以我认为我需要转向更多的 AWS 系统使用 Cognito 进行用户管理和使用 Lambda 的 API 网关来完成从数据库中获取数据的工作。我的问题是,我当前的系统有一个管理控制台,管理员用户可以在其中访问用户列表,并为其分配权限(会话变量(,从而允许他们访问特定页面。我将如何制作一个网页,用户可以在其中管理 Cognito 用户池中的用户,而无需授予他们访问 AWS 控制台的权限。
在 Lambda 函数中为管理员用户实施 Cognito AdminAddUserToGroup 操作,以管理您的用户所属的 Cognito 组。您的管理员将是唯一能够调用对 Lambda 函数的 API 调用的人,因为他们将包含在 Cognito 管理员组中,具有调用您作为开发人员指定的 Lambda 函数的适当权限。
通过为每个 Cognito 组分配角色来指定每个 Congito 组有权访问的权限。
您还可以解码后端的 jwt,以确定发出请求的用户属于哪个 Cognito 组,并使用前端上的 Amplify 根据组(链接等(管理前端的内容显示。有关这方面的更多信息,请参阅此线程:如何访问 Cognito 用户帐户的组?
我没有足够的观点来评论 CLI 更新用户池建议,但想让您知道这行不通,因为 1.(这将影响整个用户池并影响用户池中的所有用户和 2.(对于您的用户能够在您的应用程序中访问哪些内容,这不会有任何区别。