ユーザ属性でIoTトピックを制限する

Question

私はAmazon CognitoとAWS IoTを使用して概念実証に取り組んでおり、何か助けが必要です。私はすべてが働いている、私は物事をロックダウンする必要があります。私のCognito User Poolは、私がIDプールに持っている唯一の認証プロバイダです。

私は、ユーザープールのユーザーのカスタム属性に基づいて購読可能なIoTトピックを制限したいと考えています。それはIAMの役割で可能ですか？私はすでにロールにトピックフィルターを入力することでそれを制限することができます、私はそこに使用できる変数があるかどうかを知る必要があります。

私の使用の場合、アプリケーションにはアプリケーションを使用するいくつかの組織があり、それぞれが完全に分離されていますが、同じコードとインフラストラクチャを使用しています。私は、ユーザーに組織IDを指定して、すべてのトピックでユーザーの組織IDを最初に指定することができるようにしたいと考えています。

私が探しているのは、IAMの役割が果たすことができないものですが、まずチェックしたいと思います。

Answer 1

カスタム属性は、IAMポリシーのポリシー変数として直接公開されません。

私はこのためにCognito User PoolsでGroup supportを使用できると思います。異なる組織のユーザーをその組織のグループに割り当てることができます。これらの各グループに割り当てられたIAMロールは、ロックされたIoTポリシーの役割になります。

フェデレーションIDとユーザープールintegrationを使用すると、ユーザーの一時的なAWS資格情報を取得できます。 CognitoフェデレーションIDのrole based access control機能を使用すると、ユーザーが所属するCognito User Poolsグループに割り当てられた役割を使用して資格情報が引き継がれることを確認します。

これが役に立ちます。