我正在为 DynamoDB 创建一个策略,这将使管理员用户只能从另一个用户读取数据,但不能更改它。在 DynamoDB 表中,分区键是来自用户池的子。
所以我需要的是一个变量来表示来自用户池的子条件。
我曾尝试使用“${cognito-identity.amazonaws.com:sub}”,但此表达式返回身份用户 ID 而不是用户池子。
我也尝试过使用 ${cognito-idp.us-east-1.amazonaws.com/us-east-1_XXXXXXX:sub},但这也不起作用。
有谁知道我可以使用其他任何变量吗?