Аутентифицированные пользователей с STS и API шлюза

Question

Если мой пользователь отправить запрос на STS с просьбой ввести учетные данные:

AWS.config.credentials = new AWS.WebIdentityCredentials({ 
    RoleArn: 'arn:aws:iam::{id}:role/{role}', 
    WebIdentityToken: idToken, 
    RoleSessionName: VALUE 
}); 

Позже, когда пользователь отправляет запрос на частный API шлюза конечной точки, с помощью RoleSessionName я мог знать который является лицом, подающим заявку. Но как мы можем избежать того, чтобы другой пользователь мог взять свою личность, используя одно и то же RoleSessionName?

Каков наилучший способ аутентификации пользователей с использованием ролей STS и IAM?

Answer 1

RoleSessionName - это всего лишь идентификатор предполагаемого сеанса. Он не должен использоваться как механизм для дифференциации вызывающих.

Предполагаемая роль - «эффективный» принцип в этом случае. Если вы хотите, чтобы API вел себя по-разному на основе пользователя, используйте уникальную роль для каждого пользователя.