Контроль доступа на объектах S3 для группы тождеств cognito

Question

Мы пишем приложение для обмена изображениями с помощью Cognito для управления идентификацией и S3 для хранения объектов. Когда пользователь загружает изображение, он может установить разрешение изображения для частного, публичного или друга, где friend - это набор пользователей приложения.

Настройка контроля доступа на объекте S3 кажется ясным, когда она является просто частной или общедоступной (например, с использованием Canned ACL). Однако неясно, как мы можем сделать объект доступным только для группы тождеств Cognito.

Мы рассмотрели теги, метаданные и политики ведра. Политики тегов и ковша - это всего лишь уровень ведра, и мы хотим, чтобы они были на уровне объектов. Метаданные могут быть установлены для отдельных объектов, однако я не думаю, что мы можем установить метаданные как условие внутри роли Cognito. Есть ли способ, которым мы можем это сделать?

Похоже, проблема заключается в том, что мы не можем создавать подгруппы тождеств cognito и назначать эти группы для доступа к ресурсу.

Любая помощь была бы принята с благодарностью.

tl; dr Как мы можем сделать объект S3 доступным только для группы тождеств когнито?

Answer 1

К сожалению, у Cognito нет возможности разрешить доступ к произвольной жидкостной группе идентификаторов. Единственный способ, которым группа идентификаторов может быть предоставлен доступ, как сейчас, то, что было описано в this blog, который требует идентификаторы должны быть зашиты в роли:

"StringEquals": { 
"cognito-identity.amazonaws.com:aud": "us-east-1:12345678-dead-beef-cafe-123456790ab", 
"cognito-identity.amazonaws.com:sub": [ 
     "us-east-1:12345678-1234-1234-1234-123456790ab", 
     "us-east-1:98765432-1234-1234-1243-123456790ab" 
] }