사용자 속성별로 IoT 주제 제한

Question

Amazon Cognito 및 AWS IoT를 사용하여 개념 증명을 위해 작업하고 있는데 도움이 필요합니다. 나는 모든 것을 작동 시켰고, 물건을 잠글 필요가 있습니다. 내 Cognito 사용자 풀이 내 ID 풀에 대해 가지고있는 유일한 인증 공급자입니다.

내 사용자 풀의 사용자에 대한 사용자 지정 특성을 기반으로 구독 할 수있는 IoT 항목을 제한하고 싶습니다. IAM 역할이 가능합니까? 나는 이미 역할에 주제 필터를 입력하여 그것을 제한 할 수 있습니다, 나는 단지 거기에 사용할 수있는 변수가 있는지 알아야합니다.

내 용도로는 응용 프로그램이 응용 프로그램을 사용하는 여러 조직을 가질 수 있습니다. 각 조직은 완전히 분리되어 있지만 동일한 코드 및 인프라를 사용합니다. 사용자에게 조직 ID를 지정하고 모든 항목에서 사용자의 조직 ID를 시작하도록 요청할 수 있기를 바랍니다.

내가 찾고있는 것은 IAM 역할이 할 수있는 것 이상의 방법이라고 생각하지만 먼저 확인하고 싶습니다.

Answer 1

사용자 지정 특성은 IAM 정책의 정책 변수로 직접 노출되지 않습니다.

나는 이것을 위해 Cognito User Pools에서 Group support을 사용할 수 있다고 생각합니다. 다른 조직의 사용자를 해당 조직의 그룹에 할당 할 수 있습니다. 이러한 각 그룹에 할당 된 IAM 역할은 IoT (잠긴 IoT) 정책의 역할 일 수 있습니다.

페더레이션 ID 및 사용자 풀 integration을 사용하면 사용자에 대한 임시 AWS 자격 증명을 얻을 수 있습니다. Cognito Federated Identities에서 role based access control 기능을 사용하면 사용자가 속한 Cognito User Pools 그룹에 할당 된 역할을 사용하여 자격 증명을 사용하는지 확인합니다.

희망이 도움이됩니다.