我在Cognito角色上定义了以下策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:Scan",
"dynamodb:UpdateItem"
],
"Resource": [
"arn:aws:dynamodb:ap-southeast-2: NUMBER:table/myapplication_product"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${cognito-identity.amazonaws.com:sub}"
]
}
}
}
]
}
正如您所看到的,它应该允许访问GetItem、UpdateItem和Scan,但我发现只有Scan有效。尝试使用GetItem会导致:
https://dynamodb.ap-southeast-2.amazonaws.com/ 400 (Bad Request)
Error: User: arn:aws:sts:: NUMBER:assumed-role/Cognito_XXXXX_IDUnauth_Role/CognitoIdentityCredentials is not authorized to perform: dynamodb:GetItem on resource: arn:aws:dynamodb:ap-southeast-2:NUMBER:table/myapplication_product(…)
我已经设置了:
AWS.config.region = 'ap-northeast-1'; // Region
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'ap-northeast-1:SECRET_UUID',
});
AWS.config.apiVersions = {
dynamodb: '2012-08-10',
};
this.dynamodb = new AWS.DynamoDB({region: "ap-southeast-2"});
那么,为什么一种方法有效而另一种方法无效呢?
编辑
我想我还应该详细说明实际提出的问题。
这就是扫描,它的基础;ly显示所有产品
Store.prototype.getAllProducts = function(callback) {
var params = {
TableName: 'myapplication_product',
};
this.dynamodb.scan(params, callback);
}
这是GetItem:
Store.prototype.getProduct = function (sku, callback) {
var params = {
TableName: 'stonesandpearls_product',
Key: {
sku: { S: sku }
},
};
this.dynamodb.getItem(params, callback);
}
如果我只是使用:
AWS.config.update({accessKeyId: 'MY_SECRET_ID', secretAccessKey: 'MY_SECRET_ACCESS_KEY'});
这些查询起作用,而不是CognitoIdentityCredentials。
这里有几件事。
查看您的策略,您似乎在寻找身份级别的细粒度访问。如果你想这样做,并将扫描添加到你的策略中,它基本上可以让任何身份访问你的完整表。您应该只允许细粒度策略中的项目级操作。用于细粒度访问控制的IAM角色对此进行了更详细的解释。
dynamodb:LeadingKeys条件密钥将允许用户仅访问分区/哈希键值与其标识ID匹配的项。您收到的错误表明,当您发出获取或更新项时,标识ID不是dynamodb表中的哈希密钥,或者您没有在dynamodb查询中设置哈希键值。这也是扫描工作的原因,因为扫描查询不需要哈希键值。