AWS身份池Google Login

Question

我正在创建一个基本的web应用程序，它使用google登录按钮和AWS认知来授权令牌，允许用户访问特定的AWS资源。以下是我的思考过程：

1. 用户使用Google登录(用户经过身份验证)
2. Google令牌被发送到标识池
3. 在身份池中识别用户(授权用户)
4. 用户可以基于IAM角色访问AWS资源，如S3。

我有几个问题与此相对应：

1. 我需要创建一个自定义UI和托管的用户池与谷歌登录不是一个选项。不使用托管UI，我的所有用户如何登录应用程序？
2. 如何根据不同的用户设置不同的IAM？例如，Sally对S3具有读写权限，但是Bob只具有读取权限，我如何只将IAM角色分配给特定的用户？我需要编写lambda函数还是可以在标识池中进行规则来完成此任务？

如能提供有关这一专题的任何资料，将不胜感激。

Answer 1

对于问题2，您可以使用CLI aws cognito-identity或AWS作为您选择的语言。

对于问题3，您可以使用AWS Lambda来实现这一点，但是如果您对每个组使用具有不同IAM角色的认知用户池组，则会更简单。