那些遇到过的问题

用于上传和查看图片的 Amazon S3 存储桶策略

ily*_*lyo 4 policy amazon-s3 amazon-web-services amazon-cognito

我有一个应用程序,用户可以使用 Facebook 登录,然后可以将图像上传到 s3 存储桶并查看它们。我使用 Cognito 服务允许每个登录的用户上传和查看所有文件。

我不知道如何在 s3 存储桶上设置正确的权限。这是我的尝试,但我无法保存政策并获得Statement is missing required element - Statement "NO_ID-0" is missing "Principal" element

{
    "Version": "2012-10-17",
    "Id": "Policy1457546546214",
    "Statement": [
        {
            "Sid": "Stmt1475657256771436",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket-name/*"
        },
        {
            "Sid": "Stmt16577654572138125",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": [
                "bucket-name/identity-pool-id*"
            ]
        }
    ]
}
Run Code Online (Sandbox Code Playgroud)

这是客户端部分,如果有帮助的话:

FB.login(function (response) {
    if (response.authResponse) {

      AWS.config.region = 'eu-west-1';
      AWS.config.credentials = new AWS.CognitoIdentityCredentials({
        IdentityPoolId: 'eu-west-1:xxxxxxxxxxx',
        Logins: {
          'graph.facebook.com': response.authResponse.accessToken
        }
      })

      var bucket = new AWS.S3({params: {Bucket: 'name'}})
      var fileChooser = document.getElementById('file-chooser')
      var button = document.getElementById('upload-button')

      button.addEventListener('click', function() {
        var file = fileChooser.files[0]
        var params = {Key: file.name, ContentType: file.type, Body: file}
        bucket.upload(params, function (err, data) {
        ...
Run Code Online (Sandbox Code Playgroud)

认知IAM > Roles > Cognito_myappAuth_Role

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cognito-identity:*"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/${cognito-identity.amazonaws.com:sub}/*",
                "arn:aws:s3:::bucket/${cognito-identity.amazonaws.com:sub}"
            ]
        }
    ]
}
Run Code Online (Sandbox Code Playgroud)

Jef*_*ley 6

你看过这篇博文吗?它有一个很好的示例,说明如何设置允许用户访问 S3 存储桶的角色。去掉列表存储区部分,您将链接到身份池角色的访问策略可能如下所示:

{
  "版本": "2012-10-17",
  “陈述”: [
    {
      “行动”: [
        "s3:GetObject",
        “s3:放置对象”
      ],
      "Effect": "允许",
      "资源": ["arn:aws:s3:::mybucket/${cognito-identity.amazonaws.com:sub}/*"]
    }
  ]
}

编辑:

Tl; dr来自未来读者的评论:

  • 将策略应用于池的身份验证角色而不是存储桶

  • 如果应用用例需要公共区域,请使用存储桶根目录,否则为策略中定义的每个身份使用一个目录(如博客中所述)

  • 角色本身在身份验证发生后才适用。该策略仅定义返回的凭据将有权执行哪些操作以及执行哪些操作。

归档时间:

查看次数:

5943 次

最近记录:

6 年,9 月 前
相关归档
在Parse,Firebase和AWS Cognito之间哪个用户更好? 27
AWS RDS 到 PgAdmin 保存属性时出错无法连接到服务器:超时已过期 15
将CSV流从Ruby上传到S3 10
PUT上传文件到AWS S3预签名url Retrofit2 Android 8
ListObjectsV2 - 仅获取 S3 存储桶中的文件夹 7
AWS PHP SDK:限制预签名URL中的S3文件上载大小 6
AWS EC2,命令行显示实例类型 6
AWS 在调用批处理作业的预测中写入 S3 存储桶 6
如何从Amazon AWS S3 Version获取文件大小? 5
s3:s3.put_object()方法的'key'参数是什么? 1
难疑归档
如何删除子模块? 3366
迭代字典的最佳方法是什么? 2455
PHP:从数组中删除元素 2362
将字符串转换为datetime 2035
如何在JavaScript中将十进制转换为十六进制? 1387
在JavaScript中删除数组元素 - 删除vs splice 1304
确定数组是否包含值 1300
"静态"在C中意味着什么? 1062
JavaScript中的(内置)方式,用于检查字符串是否为有效数字 1051
Vim中的remap,noremap,nnoremap和vnoremap映射命令有什么区别? 1045