基于Cognito ID的S3文件夹访问的IAM策略

时间:2014-09-06 17:54:01

标签: ios node.js amazon-web-services amazon-s3 amazon-cognito

我创建了一个IAM策略,允许Cognito用户写入我的S3存储桶,但我想根据其Cognito ID将它们限制为文件夹。我按照亚马逊的说明here创建了一个如下所示的政策:

{
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/myappfolder/${cognito-identity.amazonaws.com:sub}*"
    ]
}

但是当我尝试使用AWS iOS SDK的v2上传时,我收到了拒绝访问错误。

如果我修改资源的最后一个路径组件,将${cognito-identity.amazonaws.com:sub}替换为我从SDK identityId获得的显式AWSCognitoCredentialsProvider值。

{
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
    ]
}

我的理解是这些应该等同于同一件事。我在保单中遗漏了什么,或者我是否应该在上传请求中使用其他路径?

** 更新 **

我最初在iOS中遇到过这个问题,所以今晚我尝试在node.js中做同样的事情,结果是一样的。这是我在节点中使用的简单代码:

var s3 = new AWS.S3();

AWS.config.region = 'us-east-1';

AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);

AWS.config.credentials.get(function (err) {

    if (!err) {

        console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);

        var bucketName = 'ch123_test_bucket';

        var keyName = AWS.config.credentials.identityId + '.txt';

        var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};

        s3.putObject(params, function (err, data) {
            if (err)
                console.log(err)
            else
                console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
        });
}

我得到的结果与iOS相同:除非我在IAM政策中提供明确的认知ID,否则API会以403响应。

我已将我的IAM政策剥离到最低限度。这不起作用:

{
  "Statement": [
   {
     "Effect": "Allow",
     "Action": ["s3:PutObject","s3:GetObject"],
     "Resource": [
         "arn:aws:s3:::ch123_test_bucket/${cognito-identity.amazonaws.com:sub}*"
      ]
  }
 ]
}

这样做:

{
"Statement": [
  {
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
    ]
  }
 ]
}

我没有看到我在这里缺少的东西...我能找到的唯一文档总是显示我一直使用的相同示例资源值。

2 个答案:

答案 0 :(得分:10)

不幸的是,目前通过Cognito控制台生成的角色与策略变量相结合存在问题。请更新角色的访问策略以包含以下内容,以确保正确评估策略变量:

"Version": "2012-10-17"

2014-09-16更新:我们更新了Amazon Cognito控制台,以解决通过Identity Pool创建向导创建的角色的此问题。现有角色仍需要进行上述修改。

答案 1 :(得分:0)

你错过了最后一个斜线。

{
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/cognito/myappfolder/${cognito-identity.amazonaws.com:sub}/*"
    ]
}

还要考虑这个article

相关问题
最新问题