基于 Cognito ID 的 S3 文件夹访问的 IAM 策略
Posted
技术标签:
【中文标题】基于 Cognito ID 的 S3 文件夹访问的 IAM 策略【英文标题】:IAM Policy for S3 folder access based on Cognito ID 【发布时间】:2014-10-31 10:13:42 【问题描述】:我创建了一个 IAM 策略以允许 Cognito 用户写入我的 S3 存储桶,但我想根据他们的 Cognito ID 将他们限制在文件夹中。我已按照亚马逊的指示 here 并创建了如下所示的政策:
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/$cognito-identity.amazonaws.com:sub*"
]
但是,当我尝试使用 AWS ios 开发工具包的 v2 上传时,我收到拒绝访问错误。
如果我修改资源的最后一个路径组件以将 $cognito-identity.amazonaws.com:sub
替换为我从 SDK 的 AWSCognitoCredentialsProvider
获得的显式 identityId
值,它会起作用。
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
]
我的理解是这些应该等同于同一件事。我是否遗漏了我的策略中的某些内容,还是应该在我的上传请求中使用不同的路径?
** 更新 **
我最初在 iOS 中遇到了这个问题,所以今晚我尝试在 node.js 中做同样的事情,结果是相同的。这是我在节点中使用的简单代码:
var s3 = new AWS.S3();
AWS.config.region = 'us-east-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);
AWS.config.credentials.get(function (err)
if (!err)
console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);
var bucketName = 'ch123_test_bucket';
var keyName = AWS.config.credentials.identityId + '.txt';
var params = Bucket: bucketName, Key: keyName, Body: 'Hello World!';
s3.putObject(params, function (err, data)
if (err)
console.log(err)
else
console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
);
我得到了与 iOS 相同的结果:除非我在 IAM 策略中提供明确的认知 ID,否则 API 会以 403 响应。
我已将我的 IAM 政策降至最低限度。这不起作用:
"Statement": [
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/$cognito-identity.amazonaws.com:sub*"
]
]
这样做:
"Statement": [
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
]
]
我没有看到我在这里缺少什么...我能够找到的唯一文档总是显示我一直在使用的相同示例资源值。
【问题讨论】:
为了清楚起见,您包含的第一个策略与第二个不匹配。你确定它们是一样的吗?你能在你的应用程序中包含你正在使用的代码吗?您在使用传输管理器吗? @BobKinney 我更新了我的问题以显示一个简单的 node.js 示例来说明问题。 @ChrisH,感谢您的详细问题。我只有一个评论和一个问题。我的评论:这行var s3 = new AWS.S3();
应该在设置凭据之后(在第三行),否则会发生错误。而且,问题是:您写的是针对未经身份验证的用户的,您将如何为经过身份验证的用户做同样的事情?谢谢!
您是如何查看 $cognito-identity.amazonaws.com:sub IAM 变量的?我正在使用联合身份,需要查看传递给该变量的内容。当与 S3 和 Federated Identities 一起使用时,我有一种感觉,冒号 (:) 被转换为 %3A 并破坏了从网关 API 传递的 URL 编码字符串到策略资源中的 IAM 变量的匹配。
【参考方案1】:
很遗憾,目前通过 Cognito 控制台生成的角色与策略变量相结合存在问题。请更新您角色的访问策略以包含以下内容,以确保正确评估策略变量:
"Version": "2012-10-17"
2014 年 9 月 16 日更新:我们更新了 Amazon Cognito 控制台,为通过身份池创建向导创建的新角色更正了此问题。现有角色仍需要进行上述修改。
【讨论】:
这很关键,我花了 3 个小时寻找它......非常感谢!你应该真的更正guide for DynamoDB on android,因为它是我关注的,而且确实没有这个版本字段! @Dadou 为这些问题道歉。它没有版本的部分原因是因为那里列出的政策不需要它,因为它不使用政策变量。【参考方案2】:你缺少最后一个斜线。
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/cognito/myappfolder/$cognito-identity.amazonaws.com:sub/*"
]
也可以考虑这个article。
【讨论】:
谢谢,但尾随的“/”没有任何区别。您链接到的 SO 问题证实了我的想法……并表明我的 IAM 政策应该有效。以上是关于基于 Cognito ID 的 S3 文件夹访问的 IAM 策略的主要内容,如果未能解决你的问题,请参考以下文章
如何允许 cognito 身份验证的用户获得对 s3 存储桶的公共访问权限
如何缓存来自 cognito 的 ID 令牌,以便后续访问 API 网关?