Cognito フェデレーション ユーザーを使用するサーバーレス アプリケーションがあります。API ゲートウェイの場合、aws_iam オーソライザーを使用し、API ゲートウェイへの各リクエストで aws 資格情報を提供します。
これで、ラムダが実行されると、cognito ユーザーに割り当てられたロールが使用され、必要なリソースにアクセスできると想定しました。しかし、ラムダ実行ロールには、これらのリソースを実行する権限がまだ必要なようです。
同じ権限セットを持つ 2 つの役割が本当に必要ですか? もしそうなら、認識の役割のポイントは何ですか?
これについても同様の質問があります。管理者ユーザーと通常のユーザーがいるサーバーレス アプリケーションがあります。
Dynamo にクエリを実行するラムダ関数。API ゲートウェイは、資格情報 (ID、シークレット、トークン) を取得できるユーザー トークンを渡し、API を呼び出したユーザー (つまり、管理者または通常のユーザー) の資格情報に応じて Dynamo を呼び出します。私の通常のユーザーには、「dynamodb:LeadingKeys」条件を使用したデータへのアクセスのみを許可するポリシーを持つロールがあります。管理者ユーザーは、テーブル内の任意のクエリを実行できます。
このシナリオでは、dynamo 呼び出しのトークンからこれらの資格情報を常に使用する場合、Lambda実行ロールには引き続き dynamo アクセス許可が必要ですか? その場合、dynamo 呼び出しが行われたときに、実際に使用されている資格情報は何ですか? Lambda 実行ロールまたはトークンからの認証情報?
トークンから資格情報を取得し、それらの資格情報を使用して dynamo をクエリする場合、自分の Lambda 実行ロールに dynamo 特権が必要な理由がわかりません。