针对 Cognito ID 组的 S3 文件夹访问的 IAM 策略
IAM Policy for S3 folder access for group of Cognito IDs
我想在 Cognito 用户组之间共享个人 s3 文件夹,以 assume_role_with_web_identity 标识,例如
组A:设备1,设备2
组 B:设备 4、设备 5、设备 10、...、设备 23
A组有一个共享文件夹:mybucket/groupA/*,无法访问B组的文件夹。
B组有一个共享文件夹:mybycket/groupB/*,无法访问A组的文件夹。
我们预计会有 1000 个组。
据我从网络上的示例中可以看出,只能在共享策略中指定设备专用 ID,方法如下:
"Resource": [
"arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*"
]
但我不知道如何使用共享策略授予对设备组的访问权限。请帮忙。
注意! Amazon 的角色限制为每个帐户 250 个角色,因此我无法为每个组创建一个角色。
Amazon Cognito 不支持群组。 Cognito 凭据目前不能用于访问其他身份或群组资产。 Cognito 凭据可用于访问身份资产或全局资产。
This blog post 显示了使用条件策略为其他用户提供访问权限的示例,但不幸的是,这不会扩展到 1000 个组。
我想在 Cognito 用户组之间共享个人 s3 文件夹,以 assume_role_with_web_identity 标识,例如
组A:设备1,设备2
组 B:设备 4、设备 5、设备 10、...、设备 23
A组有一个共享文件夹:mybucket/groupA/*,无法访问B组的文件夹。
B组有一个共享文件夹:mybycket/groupB/*,无法访问A组的文件夹。
我们预计会有 1000 个组。
据我从网络上的示例中可以看出,只能在共享策略中指定设备专用 ID,方法如下:
"Resource": [
"arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*"
]
但我不知道如何使用共享策略授予对设备组的访问权限。请帮忙。
注意! Amazon 的角色限制为每个帐户 250 个角色,因此我无法为每个组创建一个角色。
Amazon Cognito 不支持群组。 Cognito 凭据目前不能用于访问其他身份或群组资产。 Cognito 凭据可用于访问身份资产或全局资产。
This blog post 显示了使用条件策略为其他用户提供访问权限的示例,但不幸的是,这不会扩展到 1000 个组。