Cognito Group

[sboivinsystra]

1 group per bucket => need to reconnect when a model is selected
1 group per client

[sboivinsystra]

si on garde l'option 2 (access à tous les buckets en même temps). On a deux solution pour lister les bucket.

1. simple : faire un bucker Quetzal avec la liste des buckets dans un json. (peut etre utiliser pour d'autre chose dans le future)
2. compliqué : faire une fonction lambda + api qui retourne les nom des buckets (besoins de droits admin pour lister les buckets.)

[sboivinsystra]

la meilleur option à mon avis est le 1 groupe par client.

les utilisateur sont associés à un groupe.

le groupe est associé à un role IAM (ex: Cognito_quetzal_pool_admin)

le role a des policies qui donne acces aux duckets. ex: (s3_read_put_quetzal_paris, s3_read_put_quetzal_montreal)
donne acces aux modeles de montreal et de paris

[sboivinsystra]

Fait. ajout d'un bucket quetzal-config. Dans quetzal-config on a cognito_group_access.json qui map les noms des groupes aux nom des buckets.

donc. pour un nouveau modele, il faut:

1. créer un S3 bucket avec les CORS appropriées ( ex: quetzal-montreal )
2. créer une policy ( ex: s3_read_put_quetzal_montreal )
3. créer un IAM role ( ex: Cognito_quetzal_pool_quetzal_montreal )
4. créer un user group cognito ( ex: quetzal_montreal )
5. mettre les user dans le group
6. mettre à jour cognito_group_access.json dans s3://quetzal-config ( ex: quetzal_montreal: [ "quetzal-montreal"] )