Как настроить поток OAuth для получения пользовательских учетных данных AWS

Question

Я пытаюсь создать приложение, которое поможет пользователям контролировать или управлять своими ресурсами AWS, поэтому ему необходимо получить доступ к своим учетным данным AWS.

Обычно это делается через какой-то интерфейс OAuth, но все, что я вижу, это ссылка на Cognito, которая, как представляется, в основном используется для предоставления моих AWS учетных данных в браузере.

Как настроить поток регистрации, когда пользователи предоставляют мое разрешение на использование своих учетных данных AWS от их имени?

Для чего это стоит, я работаю в Node.js, хотя я не ищу nodejs конкретной информации

Answer 1

Вы должны ознакомиться с IAM и AWS Политикой, если вы не знакомы с это еще.

1. Вариант один будет просить клиентов для генерации ключа доступа с минимальными необходимыми разрешениями ... (или предоставить сценарий, генерирующий такой ключ, такой сценарий довольно легко реализовать). Это вариант для вас?

2. Я никогда не пытался использовать Cognito между учетными записями пользователей, однако это представляется возможным, используя подход похож на описанный здесь: http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html Для этого подхода, все еще нужно количество действий на стороне «клиента».

похож здесь: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html

Подводя итог, я считаю, что Наша задача заключается в предоставлении клиентам простой, «безболезненный» и прозрачный способ поделиться с вами минимальными необходимыми разрешениями ... Sharing админ-уровень Учетная запись aws с кем-то может стоить много денег, поэтому это может быть нелегко ...