Amazon S3: permite que usuários do Amazon Cognito acessem objetos em seus buckets - AWS Identity and Access Management

Amazon S3: permite que usuários do Amazon Cognito acessem objetos em seus buckets

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que os usuários do Amazon Cognito acessem objetos em um bucket específico do S3. Esta política permite acesso apenas a objetos com um nome que inclua cognito, o nome da aplicação e o ID de usuário federado representado pela variável ${cognito-identity.amazonaws.com:sub}. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

nota

O valor "sub" usado na chave de objeto não é o subvalor do usuário no grupo de usuários, é o ID de identidade associado ao usuário no grupo de identidades.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}

O Amazon Cognito fornece autenticação, autorização e gerenciamento de usuários para suas aplicações Web e móveis. Seus usuários podem fazer login diretamente com um nome de usuário e senha ou por meio de terceiros, como Facebook, Amazon ou Google.

Os dois componentes principais do Amazon Cognito são os grupos de usuários e os grupos de identidades. Os grupos de usuários são diretórios de usuários que fornecem opções de cadastro e login para os usuários do seu aplicativo. Os grupos de identidade permitem que você conceda aos usuários acesso a outros serviços da AWS. Você pode usar grupos de identidades e grupos de usuários separadamente ou em conjunto.

Para obter mais informações sobre o Amazon Cognito, consulte o Guia do usuário do Amazon Cognito.