AWS Cognito-使用IAM角色的S3訪問
[英]AWS Cognito - S3 Access using IAM role
問題描述
目前,我正在使用一個用例,在該用例中,我需要使用AWS Cognito對Web應用程序用戶進行身份驗證,並提供對S3存儲桶中用戶特定文件夾的訪問。 為此,我在瀏覽器端使用JavaScript並能夠驗證用戶身份。
我創建了一個IAM策略,在該策略中,我試圖將S3對特定於用戶的文件夾的訪問限制為經過身份驗證的用戶。 不知何故,此政策無效。
我在這里嘗試的政策如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"cognito-identity:*",
"mobileanalytics:PutEvents",
"cognito-sync:*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::mycognitobuckettest",
"Condition": {
"StringLike": {
"s3:prefix": [
"cognito/mycognitobuckettest/${cognito-identity.amazonaws.com:sub}/",
"cognito/mycognitobuckettest/${cognito-identity.amazonaws.com:sub}/*"
],
"s3:delimiter": [
"/"
]
}
}
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::mycognitobuckettest/cognito/mycognitobuckettest/${cognito-identity.amazonaws.com:sub}/*"
}
]}`
如果從資源路徑中刪除${cognito-identity.amazonaws.com:sub} ,則可以訪問S3存儲桶。 但是,如果我將其放入資源路徑以及條件鍵中,則會出現拒絕訪問錯誤。
根據我的理解, ${cognito-identity.amazonaws.com:sub}的值是區域ID和uuid,您可以像這樣獲得var identityID = AWS.config.credentials.identityId
我正在嘗試列出資源路徑中的對象,下面是我用來列出對象的JavaScript代碼
var listObjectParms = {Bucket: bucketName, Delimiter: '/', Prefix: bucketPrefix};
s3.listObjects(listObjectParms, function(err, data) {
if(err) {
console.log("Error", err);
} else {
console.log("LIST OBJECT successful", data);
}
});
${cognito-identity.amazonaws.com:sub}的確切值是多少?
我已經根據收到的身份ID在S3存儲桶中創建了文件夾。
我現在被困在這一點上。 歡迎您提供有關解決此問題的任何幫助。
謝謝,
阿維納什
1 個解決方案
解決方案1
1 已采納 2019-02-15 14:25:10
我最近遇到了這個問題。 $ {cognito-identity.amazonaws.com:sub}的值與您的cognito用戶池無關。 這是您從cognto身份獲得的身份ID。
例如:us-east-1:aaaaaaa-bbbb-1111-ccccccccc11f
您可以使用get_id方法在javascript sdk中獲取該ID以進行認知
AWS DynamoDB使用AWS Cognito和IAM角色直接從客戶端(Web應用程序)訪問的安全漏洞有哪些?
[英]What are the security vulnerabilities for AWS DynamoDB accessing directly from client (web app) using AWS Cognito & IAM role based
有沒有辦法使用 AWS Amplify 庫 (JavaScript) 在沒有認知用戶池和身份池的情況下訪問 s3 存儲桶?
[英]Is there a way to use AWS Amplify library (JavaScript) to access s3 bucket without cognito user poool and identity pool?
AWS Cognito JS如何允許訪問s3對象(特定的html頁面)
[英]AWS Cognito JS how to allow access to s3 object (a specific html page)
如何只允許經過身份驗證的用戶(使用Cognito)訪問他們自己的S3存儲桶/密鑰?
[英]How do I only allow authenticated user (using cognito) access to their own S3 bucket/key specifically?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用 Lambda IAM 角色以管理員身份對 Cognito 進行身份驗證
AWS Lambda無法調用Cognito Identity - IAM角色
AWS DynamoDB使用AWS Cognito和IAM角色直接從客戶端(Web應用程序)訪問的安全漏洞有哪些?
有沒有辦法使用 AWS Amplify 庫 (JavaScript) 在沒有認知用戶池和身份池的情況下訪問 s3 存儲桶?
AWS Cognito JS如何允許訪問s3對象(特定的html頁面)
使用 IAM 用戶訪問密鑰從外部位置訪問 S3
如何只允許經過身份驗證的用戶(使用Cognito)訪問他們自己的S3存儲桶/密鑰?
AWS Cognito-限制靜態S3網站的部分用戶登錄
如何使用CORS限制AWS S3訪問?
使用預先簽名的URL進行AWS S3身份驗證的用戶訪問?
相關標簽