Amazon S3: Ermöglicht Amazon Cognito-Benutzern den Zugriff auf Objekte in ihrem Bucket - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon S3: Ermöglicht Amazon Cognito-Benutzern den Zugriff auf Objekte in ihrem Bucket

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Amazon Cognito Cognito-Benutzern ermöglicht, auf Objekte in einem bestimmten Amazon S3 S3-Bucket zuzugreifen. Diese Richtlinie erlaubt nur den Zugriff auf Objekte mit einem Namen, der den Namen der Anwendung und die föderierte Prinzipal-ID enthältcognito, die durch die Variable $ {cognito-identity.amazonaws.com:sub} repräsentiert wird. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die API oder durchzuführen. AWS AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie italicized placeholder text im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Anmerkung

Der im Objektschlüssel verwendete "sub"-Wert ist nicht der Sub-Wert des Benutzers im Benutzerpool, sondern die Identitäts-ID, die dem Benutzer im Identitätspool zugeordnet ist.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}

Amazon Cognito bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und Mobilanwendungen. Ihre Benutzer können sich direkt mit einem Benutzernamen und einem Passwort oder über einen Drittanbieter wie Facebook, Amazon oder Google anmelden.

Die zwei Hauptkomponenten von Amazon Cognito sind Benutzerpools und Identitäten-Pools. Benutzerpools sind Benutzerverzeichnisse, die Registrierungs- und Anmeldungsoptionen für Ihre mobilen Anwendungs-Nutzer bereitstellen. Mithilfe von Identitätspools können Sie Ihren Benutzern Zugriff auf andere AWS Dienste gewähren. Sie können Identitäten-Pools und Benutzerpools getrennt oder zusammen verwenden.

Weitere Informationen zu Amazon Cognito erhalten Sie im Benutzerhandbuch von Amazon Cognito.