gpt4 book ai didi

javascript - IAM 允许访问一种 dynamoDB 方法,但不能访问另一种使用 JavaScript 的 AWS

转载 作者:行者123 更新时间:2023-11-29 10:37:32 24 4
gpt4 key购买 nike

我在 Cognito Angular 色上定义了以下策略

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:Scan",
"dynamodb:UpdateItem"
],
"Resource": [
"arn:aws:dynamodb:ap-southeast-2: NUMBER:table/myapplication_product"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${cognito-identity.amazonaws.com:sub}"
]
}
}
}
]
}

如您所见,它应该允许访问 GetItem、UpdateItem 和 Scan,但我发现只有 Scan 有效。尝试使用 GetItem 会导致:

https://dynamodb.ap-southeast-2.amazonaws.com/ 400 (Bad Request)
Error: User: arn:aws:sts:: NUMBER:assumed-role/Cognito_XXXXX_IDUnauth_Role/CognitoIdentityCredentials is not authorized to perform: dynamodb:GetItem on resource: arn:aws:dynamodb:ap-southeast-2:NUMBER:table/myapplication_product(…)

我已经设置了:

AWS.config.region = 'ap-northeast-1'; // Region
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'ap-northeast-1:SECRET_UUID',
});

AWS.config.apiVersions = {
dynamodb: '2012-08-10',
};

this.dynamodb = new AWS.DynamoDB({region: "ap-southeast-2"});

那么为什么一种方法有效而另一种方法无效呢?

编辑

我认为我还应该详细说明正在进行的实际查询。

这是扫描,它的基本功能是显示所有产品

Store.prototype.getAllProducts = function(callback) {
var params = {
TableName: 'myapplication_product',
};
this.dynamodb.scan(params, callback);
}

这是 GetItem:

Store.prototype.getProduct = function (sku, callback) {
var params = {
TableName: 'stonesandpearls_product',
Key: {
sku: { S: sku }
},
};
this.dynamodb.getItem(params, callback);
}

如果我只是使用:

AWS.config.update({accessKeyId: 'MY_SECRET_ID', secretAccessKey: 'MY_SECRET_ACCESS_KEY'});

这些查询有效,而不是 CognitoIdentityCredentials。

最佳答案

这里有几件事。

查看您的政策,您似乎正在寻找身份级别的细粒度访问权限。如果你想要它并且你将 Scan 添加到你的策略中,它基本上可以让任何身份访问你的整个表。您应该只允许细粒度策略中的项目级别操作。 IAM roles for fine grained access control对此进行了更详细的解释。

dynamodb:LeadingKeys条件键将允许用户仅访问分区/哈希键值与其身份 ID 匹配的项目。您收到的错误表明身份 ID 不是您的 DynamoDB 表中的哈希键,或者您在发出获取或更新项目时未在 DynamoDB 查询中设置哈希键值。这也是 Scan 起作用的原因,因为扫描查询不需要哈希键值。

关于javascript - IAM 允许访问一种 dynamoDB 方法,但不能访问另一种使用 JavaScript 的 AWS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34327179/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com