0
AWS doc告诉您如何使用Cognito API GetID和GetOpenIdToken以及STS API AssumeRoleWithWebIdentity获取STS令牌。在这个过程中,AWS会为您提供IdentityId。我可以创建一个用户范围的S3策略,以用于未经身份验证的AWS Cognito
确定每个用户的S3访问范围的常用方法是在策略中分配一个表示用户的前缀。
现在AssumeRoleWithWebIdentity API让您可以将用户范围的政策 - 但在这种情况下,我们希望从移动客户端调用此API - 不能使用出于安全考虑。
有没有一种方法可以构建某种使用IdentityId构建前缀的模板,还是我必须构建一个服务器并将它放在中间以使其安全?