我想在认知用户组之间共享单独的s3文件夹,使用assume_role_with_web_identity进行识别,例如
A组:设备1、设备2
B组:设备4、设备5、设备10。。。,设备23
组A有一个共享文件夹:mybucket/groupA/*,无法访问组B的文件夹。
组B有一个共享文件夹:mybycket/groupB/*,无法访问组a的文件夹。
我们预计会有1000个小组。
据我从网上的例子中看到的,在共享策略中只能指定仅限设备的ID,使用如下方法:
"Resource": [
"arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*"
]
但我不知道如何使用共享策略授予对设备组的访问权限。请帮忙。
NB!亚马逊的角色限制是每个帐户250个角色,所以我不能为每个组创建一个角色。
Amazon Cognito不支持组。Cognito凭据此时不能用于访问另一个身份或组资产。Cognito凭据可用于访问身份的资产或全局资产。
这篇博客文章展示了使用条件策略为更多用户提供访问权限的示例,但不幸的是,这不会扩展到1000个组。