IAM 策略条件中的 cognito 用户池自定义属性与 Dynamodb 细粒度访问

【问题标题】:cognito user pool custom attribute in IAM Policy Conditions with Dynamodb Fine grained accessIAM 策略条件中的 cognito 用户池自定义属性与 Dynamodb 细粒度访问
【发布时间】:2017-09-16 20:15:12
【问题描述】:

我有一个带有自定义属性 organization_id 的 Cognito 用户池。 一个组织可能有多个用户。可以有多个组织。 另一个 Dynamodb 表用于维护具有 _id 和 organization_id 作为分区键的类别。 类别可以归组织所有,因此属于该特定组织的用户只能在这些类别中执行某些操作。

现在,我如何创建 IAM 策略,以便它采用组织 ID 而不是 sub/user_id,如此处所述
http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToOnlyItemsMatchingUserID",
        "Effect": "Allow",
        "Action": [
            "dynamodb:GetItem",
            "dynamodb:BatchGetItem",
            "dynamodb:Query",
            "dynamodb:PutItem",
            "dynamodb:UpdateItem",
            "dynamodb:DeleteItem",
            "dynamodb:BatchWriteItem"
        ],
        "Resource": [
            "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores"
        ],
        "Condition": {
            "ForAllValues:StringEquals": {
                "dynamodb:LeadingKeys": [
                    "${cognito:organisation_id(?)}"

                ],
                "dynamodb:Attributes": [
                    "UserId",
                    "GameTitle",
                    "Wins",
                    "Losses",
                    "TopScore",
                    "TopScoreDateTime"
                ]
            },
            "StringEqualsIfExists": {
                "dynamodb:Select": "SPECIFIC_ATTRIBUTES"
            }
        }
    }
]}

所以我的主要要求是通过 cognito 获取 IAM 策略中的自定义用户池属性。这怎么可能?

【问题讨论】:

  • 你是如何解决这个问题的??
  • 不能...我为自己的自定义解决方案离开了 API 网关

标签: amazon-web-services amazon-dynamodb amazon-iam amazon-cognito


【解决方案1】:

这是不可能的。它需要 IAM 角色能够从任何认知用户池中识别自定义属性。不过,这是一个有趣的功能,将与团队讨论。

但是,作为替代方案,您可以查看 Cognito 身份和角色库访问控制

http://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html

【讨论】:

  • 有什么更新吗?目前似乎不可能满足@dan 的要求。通过 cognito 组和组特定角色的硬限制为 25。通过自定义属性和基于规则的角色分配的软限制为 25。这两个限制都表明,对于 1000 甚至 10000 个组织/范围内的事物,这两种方法都不可行组。
  • @SebastianAnnies +1 添加此功能,但是现在每个用户池最多可以有 10,000 个组。似乎仍然是一个相当大的功能疏忽,有效地使 Cognito 仅适用于 1:1 租户与用户池关联。
  • @Vasileios Lekakis 对该功能 +1。是不是意味着除了用户池之外,我们还需要引入身份池?
  • aws.amazon.com/about-aws/whats-new/2021/01/… 不确定此公告是否包括来自 Congito 用户池的用户。此外,控制台确实包含从属性到主体标签的映射。这是否意味着它实际上是受支持的?
【解决方案2】:

一些支持,但据我所知,并不完全符合您的需要。

我的用例与你的非常相似,但我仍然找不到解决方案。

但是,在一定程度上支持将池属性用作细粒度授权。阅读https://docs.aws.amazon.com/cognito/latest/developerguide/attributes-for-access-control.html

我已经能够使用 一些 标准 Cognito 使用池属性(例如 given_name 等),但对于我的生活,我无法获得 custom: 属性工作。我还在 AWS 支持论坛上发布了一些问题和 cmets,并且得到了零回复。

也许软糖是使用标准属性之一。然而,这远非理想。

【讨论】:

  • 从这里开始,我实际上发现您可以使用“自定义:”属性。但是,对于可以在属性值中包含的字符有一些限制。我不知道限制的程度,因为我无法在任何地方找到此文档,但我发现如果您想要使用的任何用户属性的值中包含“#”字符,那么一切都会中断IAM 政策。
猜你喜欢
  • 2017-12-02
  • 2016-12-08
  • 2014-08-11
  • 1970-01-01
  • 2019-08-18
  • 2019-06-20
  • 2018-06-24
  • 1970-01-01
  • 2018-03-25
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode