如何使用经过身份验证的AWS Cognito身份访问AWS IoT端点？

Question

我在JavaScript（paho-mqtt-js）中使用MQTT客户端连接到AWS IoT端点，如果我使用自己的AWS凭证，我就可以连接。

但是，如果我使用Cognito为登录用户生成的凭据，则无法执行此操作。我在IAM中的Cognito授权角色附加了一个“AWSIoTFullAccess”策略，所以我很困惑为什么这些凭据每次都会返回403错误。

对此有任何帮助将不胜感激。

Answer 1

处理联合身份时遇到类似问题。解决问题的一些提示：

• 请使用cloudwatch日志找出问题非常方便。
• 另请查看主题名称以_CognitoIdentityCredentials结尾的cloudwatch日志
• 使用适当的会话令牌
• 使用AWS CLI并执行attach-principal-policy以手动试用。
• 请参阅此链接https://github.com/alfonsodev/aws-iot-example/blob/master/index.js以使用nodejs在本地运行以解决问题。
• 请使用附加主要政策。此链接http://techqa.info/programming/question/40301345/connect-to-AWS-IoT-using-web-socket-with-Cognito-authenticated-users对于集成非常有用

希望这有帮助！

Answer 2

检查您的AWS IoT策略。除了已附加到IAM角色的策略之外，您还需要针对您的Cognito身份的AWS IoT策略。在此处查看文档：

https://docs.aws.amazon.com/iot/latest/developerguide/authorization.html