根據用戶屬性限制IoT主題

Question

我正在使用Amazon Cognito和AWS IoT進行概念驗證，我需要一些幫助。我有一切工作，我只需要鎖定事情。我的Cognito用戶池是我身份池中唯一的身份驗證提供程序。

我想根據我的用戶池中的用戶的自定義屬性限制可訂閱的IoT主題。 IAM角色有可能嗎？我已經可以通過在角色中輸入主題過濾器來限制它，我只需要知道是否有一個我可以在那裏使用的變量。

對於我的用例，應用程序可以有多個組織使用應用程序，每個應用程序彼此完全分開，但使用相同的代碼和基礎結構。我希望我可以指定用戶的組織標識，然後要求所有主題在開始時都有用戶的組織標識。

我想我所尋找的是超出IAM角色所能做的，但我想先檢查一下。

Answer 1

自定義屬性不直接作爲IAM策略中的策略變量公開。

我認爲您可以在Cognito用戶池中使用Group support。您可以將來自不同組織的用戶分配給該組織的組。分配給這些組中的每個組的IAM角色可以是鎖定的IoT策略的角色。

使用聯合身份和用戶池integration您可以爲您的用戶獲取臨時AWS憑證。使用Cognito Federated Identities中的role based access control功能將確保使用分配給用戶所屬的Cognito User Pools組的角色。

希望這會有所幫助。