因此,我只阅读了一半的互联网,我认为我对所有可能的事情都有很好的把握。我的用例仍然有一个问题。
我的要求:我有在Cognito中管理的用户,这些用户属于当前仅在我的应用程序中管理的组。我只想向该组成员提供对S3存储桶的访问权限。
据我了解,我可以在Cognito中管理这些组,向该组添加IAM角色,然后使用设置权限的存储桶策略。
根据this documentation,我可以使用${cognito-identity.amazonaws.com:sub}来确保给定用户只能访问S3中的此“子文件夹”。这些文档稀疏,但是除了sub之外,只有aud和amr都对我的情况没有帮助。
关于Web上的细粒度权限,有很多东西,但是关于组级权限却没有。显然,群组是Cognito的新功能,但只能用于分配IAM角色,而在生态系统中没有其他功能?
答案 0 :(得分:0)
显然,没有真正的解决方案。现在,我们使用混合方法,使用Cognito方法允许每个用户的写许可权和每个(自定义)组的预签名S3链接来允许读访问。这样,我们必须在应用程序中管理读取访问权限,但这至少比手动完成操作更容易。