我已经创建了一个IAM策略,允许Cognito用户写入我的S3存储桶,但是我希望根据他们的Cognito ID限制他们只能写入特定的文件夹。我遵循了亚马逊的说明(这里),创建了一个看起来像这样的策略:
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/${cognito-identity.amazonaws.com:sub}*"
]
}
但是当我尝试使用AWS iOS SDK的v2进行上传时,我收到了一个访问被拒绝的错误。
如果我修改资源的最后一个路径组件,用SDK的AWSCognitoCredentialsProvider
提供的明确的identityId
值替换${cognito-identity.amazonaws.com:sub}
,那么它就可以正常工作。
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
]
}
我理解这两者应该是相同的,我在我的策略中漏掉了什么吗?还是我应该在上传请求中使用不同的路径?
** 更新 **
我最初在iOS中遇到了这个问题,所以今晚我尝试在node.js中做同样的事情,结果是相同的。这是我在node中使用的简单代码:
var s3 = new AWS.S3();
AWS.config.region = 'us-east-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);
AWS.config.credentials.get(function (err) {
if (!err) {
console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);
var bucketName = 'ch123_test_bucket';
var keyName = AWS.config.credentials.identityId + '.txt';
var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};
s3.putObject(params, function (err, data) {
if (err)
console.log(err)
else
console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
});
}
我使用iOS时得到了相同的结果:除非我在IAM策略中提供显式的cognito ID,否则API将响应403。
我已经将我的IAM策略精简到最少。但这并不奏效:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/${cognito-identity.amazonaws.com:sub}*"
]
}
]
}
这个操作会:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
]
}
]
}
我不明白我错了什么……我能找到的唯一文档总是展示着我一直在使用的同一个Resource值的例子。
var s3 = new AWS.S3();
应该在设置凭据之后(第三行),否则会出现错误。而且,问题是:您所写的是针对未经身份验证的用户,那么如何针对已经身份验证的用户执行相同操作呢?谢谢! - securecurve