基于 Cognito ID 的 S3 文件夹访问的 IAM 策略答案

【问题标题】：IAM Policy for S3 folder access based on Cognito ID基于 Cognito ID 的 S3 文件夹访问的 IAM 策略
【发布时间】：2014-10-31 10:13:42
【问题描述】：

我创建了一个 IAM 策略以允许 Cognito 用户写入我的 S3 存储桶，但我想根据他们的 Cognito ID 将他们限制在文件夹中。我已按照亚马逊的指示 here 并创建了如下所示的政策：

{
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/myappfolder/${cognito-identity.amazonaws.com:sub}*"
    ]
}

但是，当我尝试使用 AWS iOS 开发工具包的 v2 上传时，我收到拒绝访问错误。

如果我修改资源的最后一个路径组件以将 ${cognito-identity.amazonaws.com:sub} 替换为我从 SDK 的 AWSCognitoCredentialsProvider 获得的显式 identityId 值，它会起作用。

{
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/myappfolder/us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*"
    ]
}

我的理解是这些应该等同于同一件事。我是否遗漏了我的策略中的某些内容，还是应该在我的上传请求中使用不同的路径？

** 更新 **

我最初在 iOS 中遇到了这个问题，所以今晚我尝试在 node.js 中做同样的事情，结果是相同的。这是我在节点中使用的简单代码：

var s3 = new AWS.S3();

AWS.config.region = 'us-east-1';

AWS.config.credentials = new AWS.CognitoIdentityCredentials(AWSParams);

AWS.config.credentials.get(function (err) {

    if (!err) {

        console.log("Cognito Identity Id: " + AWS.config.credentials.identityId);

        var bucketName = 'ch123_test_bucket';

        var keyName = AWS.config.credentials.identityId + '.txt';

        var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};

        s3.putObject(params, function (err, data) {
            if (err)
                console.log(err)
            else
                console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
        });
}

我得到了与 iOS 相同的结果：除非我在 IAM 策略中提供明确的认知 ID，否则 API 会以 403 响应。

我已将我的 IAM 政策降至最低限度。这不起作用：

{
  "Statement": [
   {
     "Effect": "Allow",
     "Action": ["s3:PutObject","s3:GetObject"],
     "Resource": [
         "arn:aws:s3:::ch123_test_bucket/${cognito-identity.amazonaws.com:sub}*"
      ]
  }
 ]
}

这样做：

{
"Statement": [
  {
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::ch123_test_bucket/us-east-1:68a5dc49-6cc7-4289-8257-d3d5636f7034*"
    ]
  }
 ]
}

我没有看到我在这里缺少什么...我能够找到的唯一文档总是显示我一直在使用的相同示例资源值。

【问题讨论】：

为了清楚起见，您包含的第一个策略与第二个不匹配。你确定它们是一样的吗？你能在你的应用程序中包含你正在使用的代码吗？您在使用传输管理器吗？
@BobKinney 我更新了我的问题以显示一个简单的 node.js 示例来说明问题。
@ChrisH，感谢您的详细问题。我只有一个评论和一个问题。我的评论：这行var s3 = new AWS.S3(); 应该在设置凭据之后（在第三行），否则会发生错误。而且，问题是：您写的是针对未经身份验证的用户的，您将如何为经过身份验证的用户做同样的事情？谢谢！
您是如何查看 ${cognito-identity.amazonaws.com:sub} IAM 变量的？我正在使用联合身份，需要查看传递给该变量的内容。当与 S3 和 Federated Identities 一起使用时，我有一种感觉，冒号 (:) 被转换为 %3A 并破坏了从网关 API 传递的 URL 编码字符串到策略资源中的 IAM 变量的匹配。

标签： ios node.js amazon-web-services amazon-s3 amazon-cognito

【解决方案1】：

很遗憾，目前通过 Cognito 控制台生成的角色与策略变量相结合存在问题。请更新您角色的访问策略以包含以下内容，以确保正确评估策略变量：

"Version": "2012-10-17"

2014 年 9 月 16 日更新：我们更新了 Amazon Cognito 控制台，为通过身份池创建向导创建的新角色更正了此问题。现有角色仍需要进行上述修改。

【讨论】：

这很关键，我花了 3 个小时寻找它......非常感谢！你应该真的更正guide for DynamoDB on Android，因为它是我关注的，而且确实没有这个版本字段！
@Dadou 为这些问题道歉。它没有版本的部分原因是因为那里列出的政策不需要它，因为它不使用政策变量。

【解决方案2】：

你缺少最后一个斜线。

{
    "Effect": "Allow",
    "Action": ["s3:PutObject","s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::mybucket/cognito/myappfolder/${cognito-identity.amazonaws.com:sub}/*"
    ]
}

也可以考虑这个article。

【讨论】：

谢谢，但尾随的“/”没有任何区别。您链接到的 SO 问题证实了我的想法……并表明我的 IAM 政策应该有效。