从浏览器上下文调用 AssumeRole API 是否被视为 Auth* 反模式,如果是,为什么?
Is it considered an Auth* anti-pattern to call the AssumeRole API from a browser context, and if so, why?
有人向我暗示,他们无法解释为什么有人会从浏览器调用 STS 的 AssumeRole API。
我告诉他们我在多个帐户中拥有资源以减少爆炸半径等。但我仍然希望我的 Cognito 应用程序客户端能够访问这些资源。
在浏览器中使用STS是反模式吗?
我的公司就是这种情况,因为:
所有用户帐户都是在主帐户上创建的。公司账户
所有管理的部门都有自己的部门账户
每当公司的 IT 人员想要 list/update/delete 用户帐户时,他们应该能够这样做,而无需访问部门的帐户。
每个部门的账单也会很清楚(拆分到多个AWS账户的原因)
有人向我暗示,他们无法解释为什么有人会从浏览器调用 STS 的 AssumeRole API。
我告诉他们我在多个帐户中拥有资源以减少爆炸半径等。但我仍然希望我的 Cognito 应用程序客户端能够访问这些资源。
在浏览器中使用STS是反模式吗?
我的公司就是这种情况,因为:
所有用户帐户都是在主帐户上创建的。公司账户
所有管理的部门都有自己的部门账户
每当公司的 IT 人员想要 list/update/delete 用户帐户时,他们应该能够这样做,而无需访问部门的帐户。
每个部门的账单也会很清楚(拆分到多个AWS账户的原因)