Mar*_*cus 7 amazon-s3 amazon-web-services amazon-iam amazon-cognito
所以我只阅读了一半的互联网,我认为我对所有可能的东西都有很好的把握。不过对于我的用例,我仍然有一个问题。
我的要求:我有在 Cognito 中管理的用户,这些用户属于当前仅在我的应用程序中管理的组。我只想向组成员提供对 S3 存储桶的访问权限。
据我了解,我可以做的是在 Cognito 中管理这些组,向该组添加一个 IAM 角色,然后设置一个设置权限的存储桶策略。
根据这个文档,我可以${cognito-identity.amazonaws.com:sub}用来确保给定的用户只能访问 S3 中的这个“子文件夹”。文档很少,但除此之外sub,显然只有aud,amr而且对我的情况都没有帮助。
网络上有很多关于细粒度权限的内容,但没有关于组级别权限的内容。显然组是一个较新的 Cognito 功能,但它只能用于分配 IAM 角色,而在生态系统中没有其他功能?
显然没有真正的解决方案。我们现在采用混合方法,使用 Cognito 方式允许每个用户写入权限,并使用每个(自定义)组预签名 S3 链接来允许读取访问。这样我们就必须管理应用程序中的读取访问权限,但这至少比手动完成这一切更容易。
| 归档时间: |
|
| 查看次数: |
2073 次 |
| 最近记录: |