У меня есть пользователи, сопоставленные с группой в AWS Cognito.Эта группа Cognito имеет Роль ARN следующим образом: arn: aws: iam :: 58VXCXVXC6G5: role / DEV_GRP_MASTER_READONLY_NEW
DEV_GRP_MASTER_READONLY_NEW - это роль IAM, в которой есть встроенная политика, которая, предположительно, имеет доступ только для чтения для этогоaccess.
Мое приложение - это приложение для Windows, которое использует имя пользователя и пароль AWS Cognito для входа в систему и на этом основании, я полагаю, что поскольку оно находится в определенной группе Cognito, которая имеет сопоставление с ролью IAM, доступ будетпредоставлено соответственно.Тем не менее, кажется, что он не работает, и пользователь может писать в корзину.
Ролевая встроенная политика
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::my-bucket",
"Condition": {
"StringLike": {
"aws:userid": "AROAJDUEHFJ7EN3F4" //Role Id
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::my-bucket/MyFolder/Data/Documentation/Metadata",
"arn:aws:s3:::my-bucket/MyFolder/Data/Documentation/Metadata/*"
],
"Condition": {
"StringLike": {
"aws:userid": "AROAJDUEHFJ7EN3F4"
}
}
}
]
}
Что я здесь не так делаю? Отображение ролей AWS Cognito и IAM