V
Size: a a a
2020 September 28
KT
А за холивар aws vs azure тут не забанят?) у какого клауда перспектив больше или пофиг?
Тут не надо
KT
С этим лучше в @clouds_all
AK
Из коробки оно только аутентификацию делает, авторизацию можно или в кастомном авторайзере сделать или на основе атрибутов юзера уже в беке этим рулить
Понял. Спасибо
AT
привет всем
вопрос для тех, кто использовал Cognito
Ищем решение для аппки с oauth
Главная задача - есть юзеры к которым привязаны группы, а к группам привязаны скопы и/или группы скопов.
Насколько я увидел, cognito перекладывает управление доступов по скопам на resource server, где к примеру будет API gateway, который уже будет пропускать/запрещать доступ на определенный url.
Собственно вопрос, могу ли я к юзерам в user pool привязать определенные скопы или группы скопов?
вопрос для тех, кто использовал Cognito
Ищем решение для аппки с oauth
Главная задача - есть юзеры к которым привязаны группы, а к группам привязаны скопы и/или группы скопов.
Насколько я увидел, cognito перекладывает управление доступов по скопам на resource server, где к примеру будет API gateway, который уже будет пропускать/запрещать доступ на определенный url.
Собственно вопрос, могу ли я к юзерам в user pool привязать определенные скопы или группы скопов?
а что такое скоупы в вашем случае? В когнито можно юзеров пихать в группы а группам назначать IAM роли, в зависимости от того реализованы ли ограничения (для API Gateway) которые вам нужны на уровне IAM полиси такой вариант также возможен.
AK
Al T
а что такое скоупы в вашем случае? В когнито можно юзеров пихать в группы а группам назначать IAM роли, в зависимости от того реализованы ли ограничения (для API Gateway) которые вам нужны на уровне IAM полиси такой вариант также возможен.
Не катит, скоупы это разрешения на уровне приложения. По типу функционал к чему-то доступен, ограничен или вообще нет
AT
Не катит, скоупы это разрешения на уровне приложения. По типу функционал к чему-то доступен, ограничен или вообще нет
ок, если нельзя это реализовать путем запрета доступа к определенным вызовам api (типа запретить метод POST и PUT для /api/users для заданной группы) то тогда наверно не подходит
AK
Al T
ок, если нельзя это реализовать путем запрета доступа к определенным вызовам api (типа запретить метод POST и PUT для /api/users для заданной группы) то тогда наверно не подходит
Я уже заприметил 2 сторонних решения.
Вообще cognito неплох, но когда нужна гибкость и большой функционал - это уже не удобно, насколько я понял)
Вообще cognito неплох, но когда нужна гибкость и большой функционал - это уже не удобно, насколько я понял)
AT
Я уже заприметил 2 сторонних решения.
Вообще cognito неплох, но когда нужна гибкость и большой функционал - это уже не удобно, насколько я понял)
Вообще cognito неплох, но когда нужна гибкость и большой функционал - это уже не удобно, насколько я понял)
поделитесь сторонними решениями с общественностью ))
VM
Я уже заприметил 2 сторонних решения.
Вообще cognito неплох, но когда нужна гибкость и большой функционал - это уже не удобно, насколько я понял)
Вообще cognito неплох, но когда нужна гибкость и большой функционал - это уже не удобно, насколько я понял)
Гибкость кастомным авторайзером и кастом атрибутами достигается
AK
Al T
поделитесь сторонними решениями с общественностью ))
keycloak
openam
openam
2020 September 29
i
Ребят, а вы как работает с Кубером на AWS?
EC2 / ECS или EKS?
EC2 / ECS или EKS?
eks но нонды на своих asg
i
Посоны, а вот вопрос такой. В роли у меня что-то типа
assume_role_policy = <<POLICYА как мне по доке aws вычислить, какой service - есть ли какой-то список или сорт оф? Ну вот например создаю я юзера для управления route53 - юзер это какой сервис?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
POLICY
i
О, спс, всю доку вроде перерыл и не нашел. То есть в случае юзера - iam.amazonaws.com ?
IG
Привет, подскажите, есть в aws возможность контейнер по расписанию запускать?
VM
Привет, подскажите, есть в aws возможность контейнер по расписанию запускать?
да, можно создать в ECS таск по расписанию или по cloudwatch event
IG
Круто, а то у меня сервис по расписанию должен ходить за свежей порцией данных, а заказчик хочет aws )
V
Круто, а то у меня сервис по расписанию должен ходить за свежей порцией данных, а заказчик хочет aws )