根据用户属性限制IoT主题

Question

我正在使用Amazon Cognito和AWS IoT进行概念验证，我需要一些帮助。我有一切工作，我只需要锁定事情。我的Cognito用户池是我身份池中唯一的身份验证提供程序。

我想根据我的用户池中的用户的自定义属性限制可订阅的IoT主题。 IAM角色有可能吗？我已经可以通过在角色中输入主题过滤器来限制它，我只需要知道是否有一个我可以在那里使用的变量。

对于我的用例，应用程序可以有多个组织使用应用程序，每个应用程序彼此完全分开，但使用相同的代码和基础结构。我希望我可以指定用户的组织标识，然后要求所有主题在开始时都有用户的组织标识。

我想我所寻找的是超出IAM角色所能做的，但我想先检查一下。

Answer 1

自定义属性不直接作为IAM策略中的策略变量公开。

我认为您可以在Cognito用户池中使用Group support。您可以将来自不同组织的用户分配给该组织的组。分配给这些组中的每个组的IAM角色可以是锁定的IoT策略的角色。

使用联合身份和用户池integration您可以为您的用户获取临时AWS凭证。使用Cognito Federated Identities中的role based access control功能将确保使用分配给用户所属的Cognito User Pools组的角色。

希望这会有所帮助。