我希望让AWS Cognito用户的群组(家庭)读/写S3存储桶,这些存储桶仅对该用户家族可用。
我使用Boto3 Python库创建了一个用户。现在我需要授予该用户对其在存储桶中文件夹的访问权限。
我发现了一些帖子,建议创建如下的存储桶策略:
但是事实证明,我们不能在存储桶的策略条件中指定"cognito-identity.amazonaws.com:sub"。
非常感谢您的帮助。
我使用Boto3 Python库创建了一个用户。现在我需要授予该用户对其在存储桶中文件夹的访问权限。
我发现了一些帖子,建议创建如下的存储桶策略:
policy = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant user access to his folder",
"Effect": "Allow",
"Principal": "*",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::BUCKET/users/${cognito-identity.amazonaws.com:sub}",
"Condition": {
"StringLike": {
"cognito-identity.amazonaws.com:sub": [
"us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx",
"us-east-1:yyyyyyyy-xxxx-xxxx-xxxx-xxxxxxxxxx"
]
}
}
}
]}
但是事实证明,我们不能在存储桶的策略条件中指定"cognito-identity.amazonaws.com:sub"。
非常感谢您的帮助。