Так что я только что прочитал половину интернета, и мне кажется, что я достаточно хорошо разбираюсь во всем, что возможно.У меня все еще есть одна проблема, хотя для моего варианта использования.
Мои требования: у меня есть пользователи, которые управляются в Cognito, эти пользователи находятся в группах, которые в настоящее время управляются только в моем приложении.Я хочу предоставить доступ к корзине S3 только членам группы.
Из того, что я понимаю, я могу управлять этими группами также в Cognito, добавлять роль IAM в эту группу и затем иметьполитика корзины, которая устанавливает это разрешение.
Согласно этой документации я могу использовать ${cognito-identity.amazonaws.com:sub}, чтобы убедиться, что данный пользователь имеет доступ только к этой "подпапке" в S3.Документы редки, но кроме sub, очевидно, есть только aud и amr, которые в моем случае не помогают.
В Интернете есть много мелочей о тонкодисперсных разрешениях, но ничего о разрешениях на уровне группы.По-видимому, группы - это более новая функция Cognito, но она может использоваться только для назначения ролей IAM и ничего больше в экосистеме?