3

我想在 cognito 用户组之间共享单独的 s3 文件夹,使用假设_role_with_web_identity 进行标识,例如

A组:设备1,设备2

B 组:设备 4、设备 5、设备 10、...、设备 23

A组有一个共享文件夹:mybucket/groupA/*,不能访问B组的文件夹。

B组有一个共享文件夹:mybycket/groupB/*,不能访问A组的文件夹。

我们可以期待 1000 个组。

据我从网络上的示例中可以看出,只能在共享策略中指定仅限设备的 ID,使用如下所示: "Resource": [ "arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*" ]

但是我不知道如何授予对具有共享策略的设备组的访问权限。请帮忙。

注意!Amazon 的角色限制为每个账户 250 个角色,因此我无法为每个组创建角色。

4

1 回答 1

2

Amazon Cognito 不支持组。Cognito 凭证目前不能用于访问其他身份或资产组。Cognito 凭证可用于访问身份的资产或全局资产。

这篇博文展示了使用条件策略授予更多用户访问权限的示例,但不幸的是,这无法扩展到 1000 个组。

于 2015-02-25T16:43:58.060 回答