使用 Web 聯合身分識別使用者 - AWS Identity and Access Management

使用 Web 聯合身分識別使用者

當您在 IAM 建立存取政策時,能根據設定的應用程式和已使用外部身分提供者 (IdP) 驗證的使用者 ID 來指定許可,通常是很管用的。例如,使用 Web 聯合身分的行動應用程式,可使用如下所示的結構將資訊保留在 Amazon S3 中:

myBucket/app1/user1 myBucket/app1/user2 myBucket/app1/user3 ... myBucket/app2/user1 myBucket/app2/user2 myBucket/app2/user3 ...

您可能還會想要透過提供者另外區分這些路徑。在這種情況下,結構可能如下所示 (只列出兩個提供者以儲存空間):

myBucket/Amazon/app1/user1 myBucket/Amazon/app1/user2 myBucket/Amazon/app1/user3 ... myBucket/Amazon/app2/user1 myBucket/Amazon/app2/user2 myBucket/Amazon/app2/user3 myBucket/Facebook/app1/user1 myBucket/Facebook/app1/user2 myBucket/Facebook/app1/user3 ... myBucket/Facebook/app2/user1 myBucket/Facebook/app2/user2 myBucket/Facebook/app2/user3 ...

對於這些結構,app1app2 代表不同的應用程式,例如不同的遊戲,以及每個應用程式的使用者各有不同的資料夾。app1app2 的值可能是您指派的易記名稱 (例如 mynumbersgame),或是提供者在您設定應用程式時指定的應用程式 ID。如果您決定在路徑中包含提供者名稱,那些也可以是像 CognitoAmazonFacebookGoogle 等的易記名稱。

您通常可以透過 app1建立 app2 和 AWS Management Console 的資料夾,因為應用程式名稱是靜態值。如果您在路徑包含提供者名稱,也是 true,因為提供者名稱也是靜態值。相反地,使用者特定的資料夾 (user1user2user3 等等) 必須在執行階段從應用程式中建立,其使用的使用者 ID 可用於 SubjectFromWebIdentityToken 值,而該值由 AssumeRoleWithWebIdentity 的請求傳回。

若要撰寫允許獨家存取個別使用者資源的政策,您可以比對完整資料夾名稱,包括應用程式名稱和提供者名稱,如果您有使用的話。然後,您可以包含下列提供者特定的內容索引鍵,其參考提供者傳回的使用者 ID:

  • cognito-identity.amazonaws.com:sub

  • www.amazon.com:user_id

  • graph.facebook.com:id

  • accounts.google.com:sub

對於 OIDC 提供者,請將 OIDC 提供者的完全合格 URL 與子內容索引鍵一起使用,如以下範例所示:

  • server.example.com:sub

以下範例顯示授予的許可政策,其僅允許儲存貯體的字首符合字串時,存取在 Amazon S3 中的儲存貯體:

myBucket/Amazon/mynumbersgame/user1

此範例假設使用者使用 Login with Amazon 登入,且使用者使用一款稱為 mynumbersgame 的應用程式。使用者的唯一 ID 會顯示稱為 user_id 的屬性。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::myBucket"], "Condition": {"StringLike": {"s3:prefix": ["Amazon/mynumbersgame/${www.amazon.com:user_id}/*"]}} }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::myBucket/amazon/mynumbersgame/${www.amazon.com:user_id}", "arn:aws:s3:::myBucket/amazon/mynumbersgame/${www.amazon.com:user_id}/*" ] } ] }

您會為使用 Amazon Cognito、Facebook、Google 或另一個 OpenID Connect 相容的 IdP 登入的使用者建立類似的政策。這些政策會使用不同的提供者名稱當做路徑,以及不同的應用程式 ID 的一部分。

如需有關可用於政策中條件檢查的 Web 聯合身分索引鍵的詳細資訊,請參閱 AWS Web 聯合身分的可用索引鍵