Я хочу, чтобы группы (семейства) пользователей aws cognito могли выполнять чтение / запись в сегменты S3, которые должны быть доступны только для этих семейств пользователей.
Я создал пользователя с библиотекой python boto3. Теперь мне нужно предоставить этому пользователю доступ к его папке в корзине.
Я нашел несколько постов, в которых предлагалось создать политику корзины, например:
policy = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant user access to his folder",
"Effect": "Allow",
"Principal": "*",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::BUCKET/users/${cognito-identity.amazonaws.com:sub}",
"Condition": {
"StringLike": {
"cognito-identity.amazonaws.com:sub": [
"us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx",
"us-east-1:yyyyyyyy-xxxx-xxxx-xxxx-xxxxxxxxxx"
]
}
}
}
]}
Но оказывается, что мы не можем указать "cognito-identity.amazonaws.com:sub" в состоянии политики сегмента.
Любая помощь высоко ценится.