我创建了一个 IAM 策略以允许 Cognito 用户写入我的 S3 存储桶,但我想根据他们的 Cognito ID 将他们限制在文件夹中。我在这里按照亚马逊的说明创建了一个如下所示的策略:
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/${cognito-identity.amazonaws.com:sub}*"
]
}
但是,当我尝试使用 AWS iOS 开发工具包的 v2 上传时,我收到拒绝访问错误。
如果我修改资源的最后一个路径组件以替换为我从 SDK 获得${cognito-identity.amazonaws.com:sub}的显式值,它就可以工作。identityIdAWSCognitoCredentialsProvider
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
]
}
我的理解是这些应该等同于同一件事。我是否遗漏了我的政策中的某些内容,或者我应该在我的上传请求中使用不同的路径?
**更新**
我最初在 iOS 中遇到了这个问题,所以今晚我尝试在 node.js 中做同样的事情,结果是相同的。这是我在节点中使用的简单代码:
var s3 = new AWS.S3();
AWS.config.region = 'us-east-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);
AWS.config.credentials.get(function (err) {
if (!err) {
console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);
var bucketName = 'ch123_test_bucket';
var keyName = AWS.config.credentials.identityId + '.txt';
var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};
s3.putObject(params, function (err, data) {
if (err)
console.log(err)
else
console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
});
}
我得到了与 iOS 相同的结果:除非我在 IAM 策略中提供明确的认知 ID,否则 API 会以 403 响应。
我已将我的 IAM 政策降至最低限度。这不起作用:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/${cognito-identity.amazonaws.com:sub}*"
]
}
]
}
这样做:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
]
}
]
}
我没有看到我在这里缺少什么......我能够找到的唯一文档总是显示我一直在使用的相同示例资源值。