我想在 cognito 用户组之间共享单独的 s3 文件夹,使用假设_role_with_web_identity 进行标识,例如
A组:设备1,设备2
B 组:设备 4、设备 5、设备 10、...、设备 23
A组有一个共享文件夹:mybucket/groupA/*,不能访问B组的文件夹。
B组有一个共享文件夹:mybycket/groupB/*,不能访问A组的文件夹。
我们可以期待 1000 个组。
据我从网络上的示例中可以看出,只能在共享策略中指定仅限设备的 ID,使用如下所示:
"Resource": [
"arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*"
]
但是我不知道如何授予对具有共享策略的设备组的访问权限。请帮忙。
注意!Amazon 的角色限制为每个账户 250 个角色,因此我无法为每个组创建角色。