我希望在认知用户组之间共享单独的s3文件夹,用assume_role_with_web_identity标识,例如
A组:设备1,设备2
B组:设备4,设备5,设备10,...,设备23
组A有一个共享文件夹:mybucket / groupA / *,无法访问B组的文件夹。
B组有一个共享文件夹:mybycket / groupB / *,无法访问A组的文件夹。
我们可以期待1000组。
就我在网络上的示例中所看到的,只能在共享策略中指定仅设备ID,使用以下内容:
"Resource": [
"arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*"
]
但我对如何使用共享策略授予对设备组的访问权而感到茫然。请帮忙。
NB!亚马逊的角色限制为每个帐户250个角色,因此我无法为每个组创建角色。
答案 0 :(得分:3)
Amazon Cognito不支持群组。目前,Cognito凭据不能用于访问其他身份或组资产。 Cognito凭证可用于访问身份的资产或全局资产。
This blog post显示了使用条件策略为其他用户提供访问权限的示例,但不幸的是,这不会扩展到1000个组。