无法授予 Cognito 用户对特定 S3 存储桶的访问权限
[英]Not able to give a Cognito User access on a certain S3 bucket
问题描述
我有一个用户池和一个身份池,我在身份池中为身份验证用户提供的角色具有以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::testbucket123",
"arn:aws:s3:::testbucket456",
"arn:aws:s3:::testbucket987"
]
}
]
}
我使用 Web Identity 创建了一个名为Role_testbucket456_User_X的新角色,并添加了一个条件,其中cognito-identity.amazonaws.com:sub是 stringEquals to 8e23d688-1f28-445c-8966-fdcb967c8e3c ,并附加了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::testbucket456"
}
]
}
然后我将具有子8e23d688-1f28-445c-8966-fdcb967c8e3c的 Cognito 用户 Y 添加到名为testbucket456_Users的 Cognito 用户池组
然后将角色Role_testbucket456_User_X附加到这个组testbucket456_Users
我期望的是,除了具有子8e23d688-1f28-445c-8966-fdcb967c8e3c的用户 Y 能够访问testbucket456存储桶上的读/写之外,没有任何 Cognito 用户对任何 S3 存储桶具有读/写访问权限。 但不幸的是,这并没有奏效。
因此,我已将以下存储桶策略添加到testbucket456存储桶中:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCognitoUserAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::5555555555555:role/Role_testbucket456_User_X"
},
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::testbucket456/*"
},
{
"Sid": "AllowCognitoUserAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::5555555555555:role/Role_testbucket456_User_X"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::testbucket456"
}
]
}
但这仍然没有用,每当我尝试调用此方法时,我仍然遇到访问被拒绝的问题:
const listObjectParams = {
Bucket: 'testbucket456',
};
s3.listObjects(listObjectParams, (err: any, data: any) => {
if (err) {
console.log(err);
return;
}
console.log(data);
console.log(`Successfully listed objects in `);
});
笔记
当我将testbucket456存储桶的策略设置为
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCognitoUserAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::testbucket456/*"
},
{
"Sid": "AllowCognitoUserAccess",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::testbucket456"
}
]
}
然后我可以使用 Cognito 用户访问(列出对象)存储桶,我认为问题出在存储桶的策略本身,特别是在Principal字段中。
可能的问题
- 也许经过身份验证的角色必须具有承担自定义角色的权限
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::5555555555555:role/Role_testbucket456_User_X"
}
像下面这样:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::testbucket456"
]
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::5555555555555:role/Role_testbucket456_User_X"
}
]
}
有人可以确认吗?
1 个解决方案
解决方案1
0 已采纳 2023-01-24 12:29:51
这个答案就是解决方案,我不得不更改赋予 Cognito 用户的默认角色
仅授予特定用户对 S3 存储桶的访问权限,无公共访问权限
[英]Grant access to an S3 bucket for a specific user only, no public access
如何在没有 AWS cognito 身份验证的情况下使用 Flutter Amplify 访问 S3 存储桶
[英]How to access S3 bucket using Flutter Amplify without authentication from AWS cognito
如何允许经过 Cognito 身份验证的用户获得对 s3 存储桶的公共访问权限
[英]how to allow cognito authenticated users to get public access to s3 bucket
访问 S3 存储桶中的选择性文件夹 visa AWS Transfer User
[英]Access selective folders in S3 bucket visa AWS Transfer User
使用 cloudformation 模板向公众授予对 s3 存储桶对象的读取和查看权限
[英]give public read and view access to s3 bucket objects using cloudformation template
为什么即使我在存储桶策略中授予用户也无法访问我们的 S3 存储桶?
[英]why user can't access our S3 bucket even after I granted in the bucket policy?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
允许访问 Cognito 用户的 AWS S3 存储桶策略
如何添加“s3:ListBucket/”以授予对存储桶的访问权限
仅授予特定用户对 S3 存储桶的访问权限,无公共访问权限
如何在没有 AWS cognito 身份验证的情况下使用 Flutter Amplify 访问 S3 存储桶
如何允许经过 Cognito 身份验证的用户获得对 s3 存储桶的公共访问权限
用户明智地限制访问 s3 存储桶媒体 URL (AWS)
基于用户标签确定 S3 Bucket 访问的 IAM 策略
访问 S3 存储桶中的选择性文件夹 visa AWS Transfer User
使用 cloudformation 模板向公众授予对 s3 存储桶对象的读取和查看权限
为什么即使我在存储桶策略中授予用户也无法访问我们的 S3 存储桶?
相关标签