AWS 文档告诉您如何使用 Cognito API GetID 和 GetOpenIdToken 以及 STS API AssumeRoleWithWebIdentity 获取 STS 令牌。在此过程中,AWS 确实为您提供了一个 IdentityId。
确定每个用户的 S3 访问范围的一种常用方法是在策略中分配一个前缀来表示用户。
现在 AssumeRoleWithWebIdentity API 将允许您附加用户范围的策略 - 但在这种情况下,我们希望从移动客户端调用此 API - 由于安全问题而无法使用。
有没有一种方法可以构建某种模板来使用 IdentityId 构建前缀,或者我必须构建一个服务器并将其放在中间以确保安全?