我正在创建一个使用Amazon Cognito身份验证连接到AWS IoT的android应用程序。我能够成功地对用户进行身份验证,并且能够获得凭据。当使用这些凭据更新事物影子时,总是返回403 Forbidden Exception。我已经尝试了所有的方法来解决这个问题,但还是没有找到解决办法。
My IAM Policy is:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:GetThingShadow",
"iot:UpdateThingShadow",
],
"Resource": [
"arn:aws:iot:us-west-2:<my_account>:thing/mythingname"
]
}
]
}
userSession= AppHelper.getCurrSession();
credentialsProvider=new CognitoCachingCredentialsProvider(getApplicationContext(),POOL_ID,REGIONS);
Map<String,String> logins=new HashMap<String, String>();
logins.put("cognito-idp.us-west-2.amazonaws.com/user_pool_id",userSession.getIdToken().getJWTToken());
credentialsProvider.setLogins(logins);
iotDataClient=new AWSIotDataClient(credentialsProvider);
iotDataClient.setEndpoint(ENDPOINT);
更新事物影子:
UpdateThingShadowRequest request=new UpdateThingShadowRequest();
request.setThingName(thingName);
ByteBuffer payloadBuffer=ByteBuffer.wrap(updateState.getBytes());
request.setPayload(payloadBuffer);
UpdateThingShadowResult result=iotDataClient.updateThingShadow(request);
在这方面的任何帮助都将不胜感激。
我和你有同样的问题。我找到解决办法了。
403状态码表示您需要授权。
如果你读了这个文档(接近结尾):发布/订阅策略示例,它说你需要2个策略才能使它与Authenticated Cognito User一起工作。一个用于Cognito身份池,另一个用于Cognito用户。
不可能通过UI将策略附加到认知用户,但可以通过CLI实现。
将策略附加到cognito用户的命令为:
aws iot attach-principal-policy --principal "cognito user id" --policy-Name "policy name"
你可以在
中找到你的认知用户id Cognito > Manager Federated Identities > choose your identity pool > identity browser > and find your identity ID
我使用此策略用于测试目的。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:*"
],
"Resource": [
"*"
]
}
]
}
为了使其可重用,您需要使用lambda函数(在JavaScript中)。
var AWS = require('aws-sdk');
var iot = new AWS.Iot();
exports.handler = function(event, context, cb) {
var params = {
policyName: 'your policy',
principal: 'your cognito id'
};
var out = iot.attachPrincipalPolicy(params, function(err, data) {
if (err) cb(err);
else cb(null, data);
});
};
我能够识别问题。在我的例子中,我没有为AWS iot客户端设置region。
Region region = Region.getRegion(MY_REGION);
mIotAndroidClient.setRegion(region); // I was missing this piece of code