Chr*_*isH 12 amazon-s3 amazon-web-services node.js ios amazon-cognito
我创建了一个IAM策略,允许Cognito用户写入我的S3存储桶,但我想根据他们的Cognito ID将它们限制为文件夹.我在这里遵循亚马逊的指示并创建了一个如下所示的策略:
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/${cognito-identity.amazonaws.com:sub}*"
]
}
但是当我尝试使用AWS iOS SDK的v2上传时,我收到了拒绝访问错误.
如果我修改资源的最后一个路径组件以替换我从SDK获得${cognito-identity.amazonaws.com:sub}的显式identityId值,AWSCognitoCredentialsProvider它可以工作.
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
]
}
我的理解是,这些应该等同于同一件事.我在政策中遗漏了什么,或者我应该在上传请求中使用不同的路径?
**更新**
我最初在iOS中遇到过这个问题,所以今晚我尝试在node.js中做同样的事情,结果是一样的.这是我在节点中使用的简单代码:
var s3 = new AWS.S3();
AWS.config.region = 'us-east-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);
AWS.config.credentials.get(function (err) {
if (!err) {
console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);
var bucketName = 'ch123_test_bucket';
var keyName = AWS.config.credentials.identityId + '.txt';
var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};
s3.putObject(params, function (err, data) {
if (err)
console.log(err)
else
console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
});
}
我得到的结果与iOS相同:除非我在IAM策略中提供明确的认知ID,否则API会以403响应.
我已经将我的IAM政策剥离到最低限度.这不起作用:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/${cognito-identity.amazonaws.com:sub}*"
]
}
]
}
这样做:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
]
}
]
}
我没有看到我在这里缺少的东西...我能找到的唯一文档总是显示我一直使用的相同示例资源值.
Bob*_*ney 10
遗憾的是,目前通过Cognito控制台生成的角色与策略变量相结合存在问题.请更新角色的访问策略以包含以下内容以确保正确评估策略变量:
"Version": "2012-10-17"
2014-09-16更新:我们更新了Amazon Cognito控制台,以便针对通过Identity Pool创建向导创建的新角色更正此问题.现有角色仍需要进行上述修改.
| 归档时间: |
|
| 查看次数: |
5853 次 |
| 最近记录: |