В одном из моих проектов возник вопрос: “Как позволить пользователям приложения читать/загружать публичные и личные файлы?”
Нет никаких проблем реализовать подход (пользователь -> веб-сервер/(приложение) -> хранилище (S3) ) - где приложение будет обрабатывать нужные права, но это трата пропускной способности, которой хотелось бы избежать. Было решено использовать подход ( пользователь -> хранилище (S3) ) и при увеличении количества пользователей нам не нужно будет беспокоиться о пропускной способности (веб-сервера). Последний, из двух, подход - позволить пользователям на прямую загружать файлы в хранилище. А єто, в свою очередь, означает что для чтения/записи файлов, мы должны понимать, имеет ли пользователь права прямо на сервисе AWS S3, для этого нам понадобиться AWS Cognito.
Cognito
Мы используем Cognito для создания уникальных сущностей наших пользователей в серде AWS для дальнейшего доступа к S3. Используя Идентификационные данные разработчика мы можем аутентифицировать пользователя нашего приложения с помощью уникального идентификатора и получить токены с которыми мы будем ходить в S3.
Первый фрагмент кода, возвращает сущность текущего пользователя (в AWS) для текущего идентификатора пользователя
def getCognitoIdentityAndToken(identifier): try: response = cognitoClient.get_open_id_token_for_developer_identity( IdentityPoolId=MAIN_COGNITO_POOL, Logins={ COGNITO_PROVIDER_NAME: identifier }, TokenDuration=TOKEN_EXPIRY ) #response contains cognito identity for given identifier and a session token return response except botocore.exceptions.ClientError as err: print err return False except botocore.exceptions.EndpointConnectionError as err: print err return FalseВторой пример кода, используем на стороне клиента для получения учетных данных AWS из идентификатора и токена сеанса.
function setCredentials(cogId,token){ AWS.config.region = AWS_REGION; AWS.config.credentials = new AWS.CognitoIdentityCredentials({ IdentityPoolId: MAIN_COGNITO_POOL, IdentityId: cogId, Logins: { COGNITO_PROVIDER_NAME: token // provider name = cognito-identity.amazonaws.com for developer federated identities } }); }После даных “манипуляций”, получилось отдать учетные данные клиенту (браузер в моем случае). Теперь нужно описать политики использования хранилища S3, что бы предоставить доступ к папке пользователя. Есть два возможных подхода к написанию нужных полити.
- Использовать политики на уровне роли Cognito
- Политики на уровне S3 Bucket.
Первый подход не масштабируеться, и в принципе, более сложный, так как есть ограничение в 10240 символов. Так что взял второй.
Bucket Policy
На момент написания функционала, было хорошей идеей использовать уникальный идентификатор в пути к папке что значительно упростило написание политики.
{ "Version": "2012-10-17", "Id": "Policy1487688853521", "Statement": [ { "Sid": "Stmt1492075309356", "Effect": "Allow", "Principal": "*", "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::BUCKET_NAME/users/${cognito-identity.amazonaws.com:sub}/*" }, { "Sid": "Stmt1487688849187", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::BUCKET_NAME/users/*/public/*" } ]}Первая политика, в секции (Statement), позволяет пользователю получить доступ к своей папке. ${cognito-identity.amazonaws.com:sub} - позволяет иметь доступ для сущеностей Cognito в bucket s3. Вторая политика позволяет читать/писать в папки s3 всем пользователям.
В место заключения
-
“Ничего нет более постоянного, чем временное”
-
Через какое-то время полностью перевели систему аутентификации и авторизации в Cognito.
Буду благодарен за любые комментарии :)