我想分享个别s3文件夹给一组使用assume_role_with_web_identity身份验证的cognito用户,例如:
组A: 设备1,设备2
组B: 设备4,设备5,设备10,...,设备23
组A有一个共享文件夹:mybucket/groupA/*,不能访问组B的文件夹。
组B有一个共享文件夹:mybycket/groupB/*,不能访问组A的文件夹。
我们可以期望有1000个组。
从网上的示例中可以看出,只能在共享策略中指定仅限设备ID,类似于这样:
注意!Amazon每个账户有250个角色限制,因此我无法为每个组创建角色。
组A有一个共享文件夹:mybucket/groupA/*,不能访问组B的文件夹。
组B有一个共享文件夹:mybycket/groupB/*,不能访问组A的文件夹。
我们可以期望有1000个组。
从网上的示例中可以看出,只能在共享策略中指定仅限设备ID,类似于这样:
"Resource": [
"arn:aws:s3:::my-bucket/${cognito-identity.amazonaws.com:sub}/*"
]
但我不知道如何使用共享策略授予一组设备访问权限。请帮忙。注意!Amazon每个账户有250个角色限制,因此我无法为每个组创建角色。