我正在使用Amazon Cognito和AWS IoT进行概念证明,我需要一些帮助。我有一切正常,我只需要锁定事情。我的Cognito用户池是我身份池的唯一身份验证提供商。
我想根据用户池中用户的自定义属性限制可以订阅的物联网主题。IAM角色是否可以?我已经可以通过在角色中输入主题过滤器来限制它,我只需要知道是否有一个可以在那里使用的变量。
对于我的用例,应用程序可以使用该应用程序使用多个组织,每个组织都彼此完全分开,但使用相同的代码和基础架构。我希望我可以在用户上指定组织ID,然后要求所有主题在开始时具有用户的组织ID。
我认为我正在寻找的东西超出了IAM角色的作用,但我想先检查。
自定义属性不会直接作为策略变量直接公开。
我认为您可以在Cognito用户池中使用组支持。您可以将来自不同组织的用户分配给该组织的组。分配给每个组的IAM角色可以是您锁定的物联网政策的角色。
使用联合身份和用户池集成,您可以为用户获得临时AWS凭据。使用基于角色的访问控制功能,在Cognito联合身份中,将确保使用分配给用户属于的Cognito用户池组的角色假定凭据。
希望这会有所帮助。