我想限制一些 AWS Cognito 用户对特定 Kinesis WebRTC 信令通道的访问权限。基本上,我需要为跨越多个 AWS Cognito 用户的特定组织定义,他们只能访问该组织特定的信令通道。现在我想出了以下有限的解决方案:
- 创建身份池并指定经过身份验证的角色 IAM 角色。
- 定义 IAM 角色以限制对 Kinesisvideo 操作的权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kinesisvideo:*",
"Resource": "*"
}
]
}
我在这里缺少的是我如何构建一个动态系统,该系统将创建指定哪些用户可以访问特定信令通道的策略。当用户进入/离开组织并因此有权访问添加/删除的 Kinesis Signaling 通道时,该系统需要启用更改策略/权限。目前我正在考虑以下解决方案:
- 为每个组织使用 AWS Cognito 组。但这不可扩展,因为AWS 将每个用户池的最大组数硬限制为 10,000。
- 以编程方式将新策略附加到上述定义的 IAM 角色,该角色将为每个组织定义有权访问特定通道的所有用户。但这又对您可以附加到单个 IAM 角色的策略数量有硬性限制。
也许有办法直接在 Kinesis Channels 上定义策略,就像您可以为 S3 服务定义策略一样?虽然我在 AWS 控制台中没有看到类似的东西。