我是 AWS 中的 IAM 新手。而且,我希望将各种用户的查询限制为仅主键与 cognito id 匹配的表条目。为了实现这一目标,我制定了政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToOnlyItemsMatchingUserID",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem"
],
"Resource": [
"arn:aws:dynamodb:us-east-1:XXXXXXXXXXX:table/User"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${cognito-identity.amazonaws.com:sub}"
]
}
}
}
]
}
But, when i am querying the table using Postman as shown below:
我收到以下错误:
"__type": "com.amazon.coral.service#AccessDeniedException",
"Message": "User: arn:aws:sts::XXXXXXXXXXXXX:assumed-role/Achintest/BackplaneAssumeRoleSession is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:XXXXXXXXXXXXX:table/User"
有人可以让我知道我犯了什么错误吗?
========更新========
我尝试使用策略SIM,但我无法理解为什么允许如下图所示的没有LeadingKey的查询。
当我提供主键时,它说已拒绝。见下图:
这可能取决于您发出的请求。您的 IAM 政策正在使用ForAllValues它考虑了请求的每个键。如果您请求中的某些键与结果中的某些条件值不匹配,您的策略可能会返回 false。
尝试使用ForAnyValue这可能会起作用。
See here http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html了解更多信息。