我刚刚阅读了一半的互联网,我认为我已经对所有可能的事情有了很好的理解。但是,对于我的用例,我仍然有一个问题。
我的要求:我有在Cognito中管理的用户,这些用户属于当前仅在我的应用程序中管理的组。我想为S3存储桶提供仅限于组成员的访问权限。
据我所了解,我可以在Cognito中管理这些组,向该组添加IAM角色,然后拥有设置权限的存储桶策略。
根据此文档,我可以使用${cognito-identity.amazonaws.com:sub}确保给定用户仅能访问S3中的“子文件夹”。文档内容很少,除了sub之外,显然只有aud和amr,它们都对我的情况没有帮助。
网络上有很多关于细粒度权限的内容,但没有关于组级别权限的内容。显然,组是较新的Cognito功能,但只能用于分配IAM角色,不能在生态系统中做其他事情?