我创建了一个 IAM 策略来允许 Cognito 用户写入我的 S3 存储桶,但我想根据他们的 Cognito ID 将它们限制为文件夹。我已按照亚马逊的说明进行操作here http://docs.aws.amazon.com/IAM/latest/UserGuide/ExampleIAMPolicies.html并创建了一个如下所示的策略:
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/${cognito-identity.amazonaws.com:sub}*"
]
}
但是,当我尝试使用 AWS iOS SDK v2 上传时,出现访问被拒绝错误。
如果我修改资源的最后一个路径组件来替换${cognito-identity.amazonaws.com:sub}
与明确的identityId
我从 SDK 获得的值AWSCognitoCredentialsProvider
有用。
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
]
}
我的理解是这些应该等同于同一件事。我的政策中是否遗漏了某些内容,或者我应该在上传请求中使用不同的路径?
** Update **
我最初在 iOS 中遇到了这个问题,所以今晚我尝试在 Node.js 中做同样的事情,结果是相同的。这是我在节点中使用的简单代码:
var s3 = new AWS.S3();
AWS.config.region = 'us-east-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);
AWS.config.credentials.get(function (err) {
if (!err) {
console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);
var bucketName = 'ch123_test_bucket';
var keyName = AWS.config.credentials.identityId + '.txt';
var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};
s3.putObject(params, function (err, data) {
if (err)
console.log(err)
else
console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
});
}
我得到的结果与使用 iOS 得到的结果相同:除非我在 IAM 策略中提供显式认知 ID,否则 API 会响应 403。
我已将 IAM 策略精简到最低限度。这不起作用:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/${cognito-identity.amazonaws.com:sub}*"
]
}
]
}
这会:
{
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
]
}
]
}
我不明白我在这里缺少什么......我能够找到的唯一文档始终显示我一直在使用的相同示例资源值。