Amazon S3 : permet aux utilisateurs Amazon Cognito d'accéder aux objets dans leur compartiment - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon S3 : permet aux utilisateurs Amazon Cognito d'accéder aux objets dans leur compartiment

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs Amazon Cognito à accéder à des objets dans un compartiment S3 spécifique. Cette politique permet d'accéder uniquement aux objets comportant le mot cognito, le nom de l'application, ainsi que l'ID de l'utilisateur fédéré, représenté par la variable ${cognito-identity.amazonaws.com:sub}. Cette politique accorde les autorisations nécessaires pour réaliser cette action de manière programmatique à partir de l'API AWS ou de l'AWS CLI. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).

Note

La valeur « sub » utilisée dans la clé d'objet n'est pas la sous-valeur de l'utilisateur dans le groupe d'utilisateurs, c'est l'ID d'identité associé à l'utilisateur dans le groupe d'identités.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}

Amazon Cognito assure l'authentification, l'autorisation et la gestion des utilisateurs pour vos applications web et mobiles. Vos utilisateurs peuvent se connecter directement avec un nom d'utilisateur et un mot de passe, ou via un tiers tels que Facebook, Amazon ou Google.

Les deux principaux composants d'Amazon Cognito sont les groupes d'utilisateurs et les groupes d'identités. Les groupes d'utilisateurs sont des répertoires d'utilisateurs qui fournissent des options d'inscription et de connexion pour les utilisateurs de votre application. Les groupes d'identités permettent d'accorder l'accès à d'autres services AWS à vos utilisateurs. Vous pouvez utiliser des groupes d'identités et des groupes d'utilisateurs séparément ou conjointement.

Pour plus d'informations sur Amazon Cognito, consultez le Guide de l'utilisateur Amazon Cognito.