使用 Amazon Cognito 身份的授权 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon Cognito 身份的授权

存在两种类型的 Amazon Cognito 身份:经过身份验证的身份和未经身份验证的身份。当您的应用程序支持未经身份验证的 Amazon Cognito 身份时,不会执行身份验证,因此您不知道用户的身份。对于未经身份验证的用户,您可以通过将 IAM 角色附加到未经身份验证的身份池来授予权限。您应仅授予对希望可供未知用户使用的那些资源的访问权限。

当您的应用程序支持经过身份验证的 Amazon Cognito 身份时,您可以在两个位置指定策略。您需要将 IAM 策略附加到经过身份验证的 Amazon Cognito Identity 池,并将 Amazon IoT Core 策略附加到 Amazon Cognito Identity。在创建 Amazon Cognito Identity 池时,您可以使用 Amazon Cognito Identity 控制台将 IAM 策略附加到 Amazon Cognito Identity 池。要将 Amazon IoT Core 策略附加到 Amazon Cognito Identity,您必须定义一个 Lambda 函数,以调用 AttachPolicy

注意

当您使用通过 Amazon Cognito Identity 池获得的 Amazon 凭证调用函数时,Lambda 函数中的上下文对象包含 context.cognito_identity_id 的值。有关更多信息,请参阅下列内容。