gpt4 book ai didi

javascript - 如何只允许经过身份验证的用户(使用 cognito)访问自己的 S3 存储桶/ key ?

转载 作者:行者123 更新时间:2023-12-03 00:06:52 25 4
gpt4 key购买 nike

我们的基本应用流程如下:

React 应用程序:用户登录 ---> 使用 cognito 进行身份验证 --> 然后重定向到可以将文件上传到 s3 的门户

s3中“文件夹”的结构方式如下:每个用户的电子邮件在 s3 存储桶中都有一个文件夹/ key (我们将此存储桶称为“testbucket”)。

因此,如果我的电子邮件是 john@google.com,那么它将如下所示:Bucket - testbucket,key - john@google.com

约翰只能上传到该文件夹​​。

现在我的问题是,现在我正在检查“ key ”是否存在,如果不存在则拒绝对 s3 的请求。但是,随着添加了 KMS 层,我想知道,在节点中发出请求时是否传递 kms“主 key ”?如果是这样,我是否只需将 key 保存在 env 变量中并在调用时将其传入?

此外,我可以在策略中添加一些内容,将访问权限与 Cognito 或经过身份验证的用户电子邮件联系起来吗?如果可以的话我可以举个例子来说明如何做到这一点吗? (如何实现示例政策)

编辑 1:策略用户

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mybucket"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"cognito/users/"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListObject"
],
"Resource": [
"arn:aws:s3:::mybucket/cognito/users/${cognito-identity.amazonaws.com:sub}",
"arn:aws:s3:::mybucket/cognito/users/${cognito-identity.amazonaws.com:sub}/*"
]
}
]
}

编辑2:修订政策

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mybucket"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"cognito/users/"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::mybucket/cognito/users/${cognito-identity.amazonaws.com:sub}",
"arn:aws:s3:::mybucket/cognito/users/${cognito-identity.amazonaws.com:sub}/*"
]
}
]
}

然后我像这样进行 api 调用:

var authenticate = (val) => {
var userData = {
Username: val.user, // your username here
Pool: userPool
};
var authenticationData = {
Username: val.user, // your username here
Password: val.pass, // your password here
};
var authenticationDetails = new AmazonCognitoIdentity.AuthenticationDetails(authenticationData);

var cognitoUser = new AmazonCognitoIdentity.CognitoUser(userData);

cognitoUser.authenticateUser(authenticationDetails, {
onSuccess: function(result) {
var accessToken = result.getAccessToken().getJwtToken();
var idtoken = result.getIdToken().getJwtToken();

var params = {
IdentityPoolId: 'ca-central-1:****',
Logins: {
'cognito-idp.ca-central-1.amazonaws.com/****': result.getIdToken().getJwtToken()
}
}
var cognitoidentity = new AWS.CognitoIdentity();
cognitoidentity.getId(params, function(err, data) {
if (err) console.log(err);
else {
var id = data.IdentityId;
console.log(id);
var params = {
Bucket: 'mybucket',
Key: `cognito/users/${id}/image.jpg`
};
s3.getObject(params, function(err, data) {
if (err) console.log(err, err.stack);
else console.log(data);
});
}
});



},
onFailure: function(err) {
console.log("---------")
console.log(`this is ${JSON.stringify(err)}`);
}
});



}

最新编辑:

cognitoUser.authenticateUser(authenticationDetails, {
onSuccess: function(result) {
var accessToken = result.getAccessToken().getJwtToken();
var idtoken = result.getIdToken().getJwtToken();
var params = {
IdentityPoolId: 'ca-central-1:***',
Logins: {
'cognito-idp.ca-central-1.amazonaws.com/***': result.getIdToken().getJwtToken()
}
}
var cognitoidentity = new AWS.CognitoIdentity();
cognitoidentity.getId(params, function(err, data) {
if (err) console.log(err);
else {
// console.log(data);
var id = data.IdentityId;
console.log(id);

var params = {
IdentityId: `${id}`,
Logins: {
'cognito-idp.ca-central-1.amazonaws.com/***': result.getIdToken().getJwtToken()
}
};
cognitoidentity.getCredentialsForIdentity(params, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else {
// console.log(data); // successful response
var creds = new AWS.Credentials({
accessKeyId: `${data.Credentials.AccessKeyId}`,
secretAccessKey: `${data.Credentials.secretAccessKey}`,
sessionToken: `${data.Credentials.SessionToken}`
})
var s3 = new AWS.S3(creds);
console.log(creds);
var params = {};
s3.listBuckets(params, function(err, data) {
if (err) console.log(err, err.stack);
else console.log(data);
});

}
});



}
});

最佳答案

限制访问的最佳方法是创建动态策略。您可以通过基于认知身份池的子变量创建策略来实现此目的。请注意,此子项与您在认知用户池中看到的子项不同。这是您可以通过调用GetId获取的身份ID。 API。您可以使用此子项创建策略,以便用户只能访问前缀包含此子项的 key 。所以基本上你是按文件夹限制访问。您可以阅读更多相关信息here

关于javascript - 如何只允许经过身份验证的用户(使用 cognito)访问自己的 S3 存储桶/ key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54928856/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com