我已经在AWS中成功配置了一个身份提供程序,该身份提供程序使我可以使用由我的IdP(Auth0)授予的id_token访问S3(和其他)资源。
我要采取的最后一步是根据id_token中的声明来限制对S3存储桶的访问,从而在AWS中配置更细粒度的访问控制。现在,由IdP发行的任何有效令牌都可以提供访问权限。我可以轻松地在Auth0中为不同用户指定自定义声明(角色),但无法弄清楚如何检查AWS IAM策略或角色中的那些字段。
这是我所遵循的非常有用和详尽的指南:https://datalanguage.com/news/s3-managed-uploads
这可能吗?
编辑
我看到了this个问题,但我没有使用cognito。如果可能的话,我希望能够做到这一点。
答案 0 :(得分:0)
为什么不为每个用户使用访问权限配置文件,作为S3中的JSON:
{
"accessRight": {
"element": "bucketA",
"role": "manager"
}
}
然后:
用户具有所需角色(例如manager)。
if (1 && 2) grantAccess()
您可以尽可能地细化,只需要定义其元素和角色即可。