通过 Amazon Cognito 提供个人访问权限
Provide individual access permissions through Amazon Cognito
我在一家公司工作,我们向客户发送传感器,这些传感器将数据发送到特定于该客户的 Amazon S3 存储桶或文件夹。我正在尝试在 Web 上创建一个门户,他们可以在其中通过 Amazon Cognito 登录并查看他们的数据。我已经按照 User Authentication and Authorization with AWS Cognito 创建了一个非常接近我想要的系统。
不过,这并不是我想要的。我希望每个用户都可以访问不同的数据,但我不想每次有人新注册帐户时都创建一个新的 IAM 角色。我在想像下面的流程:
- 客户收到传感器(每个传感器都附有传感器 ID)
- 客户进入在线门户,并在创建帐户时输入传感器的 ID
- 使用给定的传感器 ID,创建一个新的 IAM 角色,使他们只能访问 S3 上允许他们查看的数据。
- 每次客户登录时,他们都会承担注册时创建的 IAM 角色。
- 如果将更多数据添加到他们有权访问的 S3 中的存储桶或文件夹中,他们将能够看到这些数据。
不太确定如何使这种设置成为现实,所以任何概念上的帮助都会很棒。谢谢!
根据您列出的内容,考虑到您的目标是保护 S3 中的数据,听起来 Amazon S3: Allows Amazon Cognito users to access objects in their bucket 可能有效?
或者,您可以查看 Attribute-based access control (ABAC),但这需要您能够标记从 Cognito 开始的会话,我不是 100% 可以做到这一点(就像您一样可以与 SAML 联合)。
我在一家公司工作,我们向客户发送传感器,这些传感器将数据发送到特定于该客户的 Amazon S3 存储桶或文件夹。我正在尝试在 Web 上创建一个门户,他们可以在其中通过 Amazon Cognito 登录并查看他们的数据。我已经按照 User Authentication and Authorization with AWS Cognito 创建了一个非常接近我想要的系统。
不过,这并不是我想要的。我希望每个用户都可以访问不同的数据,但我不想每次有人新注册帐户时都创建一个新的 IAM 角色。我在想像下面的流程:
- 客户收到传感器(每个传感器都附有传感器 ID)
- 客户进入在线门户,并在创建帐户时输入传感器的 ID
- 使用给定的传感器 ID,创建一个新的 IAM 角色,使他们只能访问 S3 上允许他们查看的数据。
- 每次客户登录时,他们都会承担注册时创建的 IAM 角色。
- 如果将更多数据添加到他们有权访问的 S3 中的存储桶或文件夹中,他们将能够看到这些数据。
不太确定如何使这种设置成为现实,所以任何概念上的帮助都会很棒。谢谢!
根据您列出的内容,考虑到您的目标是保护 S3 中的数据,听起来 Amazon S3: Allows Amazon Cognito users to access objects in their bucket 可能有效?
或者,您可以查看 Attribute-based access control (ABAC),但这需要您能够标记从 Cognito 开始的会话,我不是 100% 可以做到这一点(就像您一样可以与 SAML 联合)。