基于 Cognito ID 的 S3 文件夹访问的 IAM 策略

Posted 2023-03-07

【中文标题】基于 Cognito ID 的 S3 文件夹访问的 IAM 策略

【英文标题】：IAM Policy for S3 folder access based on Cognito ID

【发布时间】：2014-10-31 10:13:42

【问题描述】：

我创建了一个 IAM 策略以允许 Cognito 用户写入我的 S3 存储桶，但我想根据他们的 Cognito ID 将他们限​​制在文件夹中。我已按照亚马逊的指示 here 并创建了如下所示的政策：

    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/myappfolder/$cognito-identity.amazonaws.com:sub*"
    ]

但是，当我尝试使用 AWS ios 开发工具包的 v2 上传时，我收到拒绝访问错误。

如果我修改资源的最后一个路径组件以将 $cognito-identity.amazonaws.com:sub 替换为我从 SDK 的 AWSCognitoCredentialsProvider 获得的显式 identityId 值，它会起作用。

    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
    ]

我的理解是这些应该等同于同一件事。我是否遗漏了我的策略中的某些内容，还是应该在我的上传请求中使用不同的路径？

** 更新 **

我最初在 iOS 中遇到了这个问题，所以今晚我尝试在 node.js 中做同样的事情，结果是相同的。这是我在节点中使用的简单代码：

var s3 = new AWS.S3();

AWS.config.region = 'us-east-1';

AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);

AWS.config.credentials.get(function (err) 

    if (!err) 

        console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);

        var bucketName = 'ch123_test_bucket';

        var keyName = AWS.config.credentials.identityId + '.txt';

        var params = Bucket: bucketName, Key: keyName, Body: 'Hello World!';

        s3.putObject(params, function (err, data) 
            if (err)
                console.log(err)
            else
                console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
        );

我得到了与 iOS 相同的结果：除非我在 IAM 策略中提供明确的认知 ID，否则 API 会以 403 响应。

我已将我的 IAM 政策降至最低限度。这不起作用：

  "Statement": [
   
     "Effect": "Allow",
     "Action": ["s3:PutObject","s3:GetObject"],
     "Resource": [
         "arn:aws:s3:::ch123_test_bucket/$cognito-identity.amazonaws.com:sub*"
      ]
  
 ]

这样做：

"Statement": [
  
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
    ]
  
 ]

我没有看到我在这里缺少什么...我能够找到的唯一文档总是显示我一直在使用的相同示例资源值。

【问题讨论】：

为了清楚起见，您包含的第一个策略与第二个不匹配。你确定它们是一样的吗？你能在你的应用程序中包含你正在使用的代码吗？您在使用传输管理器吗？

@BobKinney 我更新了我的问题以显示一个简单的 node.js 示例来说明问题。

@ChrisH，感谢您的详细问题。我只有一个评论和一个问题。我的评论：这行var s3 = new AWS.S3(); 应该在设置凭据之后（在第三行），否则会发生错误。而且，问题是：您写的是针对未经身份验证的用户的，您将如何为经过身份验证的用户做同样的事情？谢谢！

您是如何查看 $cognito-identity.amazonaws.com:sub IAM 变量的？我正在使用联合身份，需要查看传递给该变量的内容。当与 S3 和 Federated Identities 一起使用时，我有一种感觉，冒号 (:) 被转换为 %3A 并破坏了从网关 API 传递的 URL 编码字符串到策略资源中的 IAM 变量的匹配。

【参考方案1】：

很遗憾，目前通过 Cognito 控制台生成的角色与策略变量相结合存在问题。请更新您角色的访问策略以包含以下内容，以确保正确评估策略变量：

"Version": "2012-10-17"

2014 年 9 月 16 日更新：我们更新了 Amazon Cognito 控制台，为通过身份池创建向导创建的新角色更正了此问题。现有角色仍需要进行上述修改。

【讨论】：

这很关键，我花了 3 个小时寻找它......非常感谢！你应该真的更正guide for DynamoDB on android，因为它是我关注的，而且确实没有这个版本字段！

@Dadou 为这些问题道歉。它没有版本的部分原因是因为那里列出的政策不需要它，因为它不使用政策变量。

【参考方案2】：

你缺少最后一个斜线。

    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/cognito/myappfolder/$cognito-identity.amazonaws.com:sub/*"
    ]

也可以考虑这个article。

【讨论】：

谢谢，但尾随的“/”没有任何区别。您链接到的 SO 问题证实了我的想法……并表明我的 IAM 政策应该有效。