我正在尝试执行以下操作: i( 通过 Cognito Federated Identity(映射到 CognitoPool(验证用户。角色 R1 作为此过程的一部分分配。 ii( 想要为此令牌分配新的角色 R2。 分配角色R2时,我收到以下错误: "CustomRoleARN: arn:aws:iam::123456789012:role/R2 不适用于此令牌">
我必须走这条路,因为我可能必须根据某些条件创建 R2 运行时。
R2 信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/R1"
},
"Action": "sts:AssumeRole"
}
]
}
附加到 R1 的策略(非信任关系(:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket1"
]
},
{
"Action": [
"s3:*"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket1/*"
]
},
{
"Effect":"Allow",
"Action":"sts:AssumeRole",
"Resource":"*"
}
]
}
请让我知道我错过了什么。
提前感谢您的观看。
我脑死亡了。应该调用sts。GetFederationToken(( 在这种情况下。我的要求是为已验证的联合用户分配不同的策略。
我试图在已经验证的用户上调用cognito.getCredentialsForIdentity((。我混淆了 2 种解决方案。这就是我收到错误的原因
谢谢