亚马逊AWS官方博客

今天，团队向 PowerShell Gallery 发布了一组新模块来解决旧版本中存在的问题（如加载时间过长等）。这些模块处于预览版本，因此团队希望收集您给出的反馈（无论好坏）！

这篇博文将向您展示如何创建 Step Functions 状态机，以使用 sfn-callback-urls 应用程序完成电子邮件批准步骤。可以在 AWS Serverless Application Repository 中找到该应用程序。该状态机会发送一封包含批准/拒绝链接的电子邮件，随后发送确认电子邮件。您可以轻松针对自己的使用案例扩展此状态机。

为了保证物联网设备能够保持在功能上随时更新，并且在出现问题的时候及时得到修复。小到智能手环，空气净化器， 大到家用汽车，设备厂商无不是通过提供OTA（Over-The-Air）功能来提高用户满意度。在做设备的OTA升级之前，设备厂商通常会提前把需要设备加载的固件保存在可以被设备访问的存储空间里（如果是AWS，通常会保存在S3对象存储里），然后通知用户有新的固件可供升级。接下来用户通过Web或移动端去控制设备下载固件并完成升级过程。

S3 是一个对象存储服务，非常适合存储海量文件。它不仅支持从服务器端上传/下载 S3 中的内容， 同时允许客户从客户端直接上传/下载 S3 中的资源。在实际应用过程中，我们经常遇到这样的需求：只允许用户 上传/下载/删除/修改(CRUD) 自己的文件。本文将探讨利用 Amazon Cognito Identity Pool, OpenID Connect 实现精细化权限控制，限制用户只能访问自己的文件。

S3 是一个对象存储服务，非常适合存储海量文件。它不仅支持从服务器端上传/下载 S3 中的内容， 同时允许客户从客户端直接上传/下载 S3 中的资源。在实际应用过程中，我们经常遇到这样的需求：只允许用户 上传/下载/删除/修改(CRUD) 自己的文件。 本文将探讨如何利用 AWS STS, OpenID Connect 实现精细化权限控制，实现用户只能上传和查看自己在 S3 中的文件。

目前，越来越多的Iot厂商会开发自己的APP，使得终端用户可以通过APP绑定自己的设备，检测自己设备的实时情况，并且对设备做即时的控制。在此场景下，Mobile端的终端用户应该只能发布消息到自己的设备。用户和设备的关系可能是一对多或者多对多,比如同一个user拥有多个设备，用户A只能发布消息到/userA/deviceX的topic中；多个设备可能受同时受多人控制，此时用户B和C都有权限发布消息到/device2/temp下。本文考虑到此两种场景并做展开，利用Cognito和AWS Iot Core，实现终端对设备的精细化控制权限管理。

客户采用微服务的方式构建应用系统，此处假设使用多套 API Gateway + Lambda构建，并且使用了Cogito User Pool。 Cognito User Pool 中不同group的用户可以访问不同的微服务。如果用户同时属于多个group，则用户可以访问多套环境。

大多数移动应用或者 Web 应用都有自己的用户身份认证体系。用户的身份信息存储在应用的自有数据库中, API Gateway定义的不同的资源操作，需要根据应用的用户身份判断是否允许该用户访问这些不同的操作. 例如，一个 bookstore app, 资源URI有/books, /books/{usesrid}, 具体的操作有/books/get, books/{userid}/get, books/{userid}/post等等。 在这个应用中，如果用户的身份为admin，则该用户可以执行所有操作。对于身份为user的用户，则只能访问 /books/{userid}下的所有操作。对于这样的基于用户身份进行API级别的权限控制需求，需要通过自定义授权函数，通过应用的身份认证系统获取用户身份，基于用户身份以及当前执行的操作相结合，在自定义授权函数中判断用户是否有权限执行操作，并构建相应的权限策略返回给 API Gateway。

上周，Amplify 团队推出了新预测类别，可使您将机器学习能力快速增加到您的 Web 或移动应用程序中。今天，他们又一次这样做。我很高兴地与大家分享的是，您现在可以使用 Amplify CLI 模拟它提供的一些最常见的云服务，并且可以完全在本地测试您的应用程序！

在此博文中，我们结合 AWS ParallelCluster 和 AWS API Gateway 来允许 HTTP 与计划程序交互。您可以使用 API 提交、监控和终止作业，而不是通过 SSH 连接到主节点。这样便可以通过编程方式将 ParallelCluster 集成到本地或 AWS 上运行的其他应用程序。›