перекрестное использование пула пользователей AWSognito для входа в систему

Amazon Cognito не поддерживает создание токенов JWT для нескольких аккаунтов напрямую.

Однако вы реализуете боковой способ достижения этого варианта использования. Вы можете использовать Cognito Identity Pool на «Master» для создания временных учетных данных AWS, которые могут использоваться «региональной» учетной записью для вызовов API Cognito User Pool. Не рекомендуется внедрять такую ​​боковую систему для производственного приложения, поскольку в ней есть свои подводные камни. Amazon Cognito также не предлагает никаких API или функций для резервного копирования пользовательского пула.

Если вы все же решите реализовать рекурсивный подход, я бы порекомендовал начать с тщательного понимания разницы между пулами пользователей и пулами удостоверений. Я написал статью для то же самое, что проясняет разницу. Затем вы можете использовать свой пул удостоверений и RBAC для косвенного использования другого пула пользователей.

Другой альтернативный способ, который я могу придумать, - это использование AWS Lambda и безопасная загрузка учетных данных для «главной» учетной записи при использовании управляемой службы безопасности AWS, такой как AWS Secrets Manager или SSM Parameter Store.

В любом случае, в заключение, нет прямого способа заставить этот вариант использования работать, и боковой обход / взлом - единственный способ сделать это.