AWS IoT 通用策略与 Cognito 用户的策略

Question

我想知道是否有人知道 AWS IoT 关于策略处理的最佳实践，例如，我们可能有两种不同的情况：

案例 1： 调用 lambda(identity-id as param) 动态创建策略，然后将策略附加到身份 ID。该策略将包含硬编码的事物名称，例如：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iot:Connect",
      "Resource": "arn:aws:iot:us-west-2:XXXX:client/hardcodedClient1"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iot:Publish",
        "iot:Subscribe",
        "iot:Receive"
      ],
      "Resource": [
        "arn:aws:iot:us-west-2:XXXX:topic/$aws/things/THINGNAME1/*",
        "arn:aws:iot:us-west-2:XXXX:topicfilter/$aws/things/THINGNAME1/*"
      ]
    }
  ]
}

案例 2：通过使用 ${iot:ClientId}、${iot:ThingName} 等策略变量，我们可以将一个策略附加到所有 congito-identity-users；

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iot:Connect",
      "Resource": "arn:aws:iot:us-west-2:XXXX:client/${iot:ClientId}"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iot:Publish",
        "iot:Subscribe",
        "iot:Receive"
      ],
      "Resource": [
        "arn:aws:iot:us-west-2:XXXX:topic/$aws/things/${iot:Connection.Thing.ThingName}/*",
        "arn:aws:iot:us-west-2:XXXX:topicfilter/$aws/things/${iot:Connection.Thing.ThingName}/*"
      ]
    }
  ]
}

所以，问题是。那么哪一个是最佳实践，而且对于 Cognito 用户只能与他自己的设备进行交互，它们都是安全的？

Answer 1

使用策略变量的案例 2 是推荐的方法。

它减少了要处理的策略数量，并使它们保持有意义和可重用。从好的方面来说，不使用 lambda 并每次都创建策略会节省一些额外的金钱和时间！

就安全性而言，它与策略中的策略变量无关，最终策略允许或拒绝什么操作，因为策略变量会根据谁在尝试执行操作以及之后进行动态解决它与您的硬编码策略相同。

Answer 2

案例 2 更好。您还可以使用具有适当 IAM 策略的 Cognito 联合池实现身份验证机制，并在具有适当权限的 IoT 策略中使用 ${cognito-identity.amazonaws.com:sub} 变量（只需记住将此策略附加到您的 Cognito identityId）。

如果您的客户端从浏览器连接，最好不要使用iot:ClientId，因为 clientId 必须是唯一的，这样用户将无法打开多个浏览器选项卡。