当前,我正在使用一个用例,在该用例中,我需要使用AWS Cognito对Web应用程序用户进行身份验证,并提供对S3存储桶中用户特定文件夹的访问权限。为此,我在浏览器端使用JavaScript并能够验证用户身份。
我创建了一个IAM策略,在该策略中,我试图将对特定于用户的文件夹的S3访问限制为经过身份验证的用户。不知何故,此政策无效。
我在这里尝试的政策如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"cognito-identity:*",
"mobileanalytics:PutEvents",
"cognito-sync:*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::mycognitobuckettest",
"Condition": {
"StringLike": {
"s3:prefix": [
"cognito/mycognitobuckettest/${cognito-identity.amazonaws.com:sub}/",
"cognito/mycognitobuckettest/${cognito-identity.amazonaws.com:sub}/*"
],
"s3:delimiter": [
"/"
]
}
}
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::mycognitobuckettest/cognito/mycognitobuckettest/${cognito-identity.amazonaws.com:sub}/*"
}
]}`
如果我从资源路径中删除${cognito-identity.amazonaws.com:sub},则可以访问S3存储桶。但是,如果将其放入资源路径以及条件键中,则会出现拒绝访问错误。
据我了解,${cognito-identity.amazonaws.com:sub}的值是区域ID和uuid,您可以像这样var identityID = AWS.config.credentials.identityId
我正在尝试列出资源路径中的对象,下面是我用来列出对象的JavaScript代码
var listObjectParms = {Bucket: bucketName, Delimiter: '/', Prefix: bucketPrefix};
s3.listObjects(listObjectParms, function(err, data) {
if(err) {
console.log("Error", err);
} else {
console.log("LIST OBJECT successful", data);
}
});
${cognito-identity.amazonaws.com:sub}的确切值是多少?
我已经根据收到的身份ID在S3存储桶中创建了文件夹。
我现在被卡住了。 欢迎您提供有关解决此问题的任何帮助。
谢谢
Avinash
答案 0 :(得分:1)
我最近遇到了这个问题。 $ {cognito-identity.amazonaws.com:sub}的值与您的cognito用户池无关。这是您从cognto身份获得的身份ID。
例如:us-east-1:aaaaaaa-bbbb-1111-ccccccccc11f
您可以使用get_id方法在javascript sdk中获取此ID,以进行认知识别