在IAM策略条件中使用Cognito自定义属性作为Principle Tag,当前存在问题。
0
【以下的问题经过翻译处理】 这是配置信息:
- User Pool custom attribute:**
custom:journalSubscription - User Pool app client: 具有自定义属性的读/写权限
- 示例用户:自定义属性
custom:journalSubscription设置为true - 身份池 ABAC 自定义映射:
custom:journalSubscription的“属性名称”- 映射到->journalSubscription的“Tag key for principal” - IAM 策略:使用“StringEquals”条件,其中“aws:PrincipalTag/journalSubscription”必须等于“true”
问题现象:SDK 调用失败并显示以下错误消息:
User: <<AUTH_ROLE>> is not authorized to perform: dynamodb:GetItem on resource: <<ARN_FOR_MY_DynamoDB_TABLE>> because no identity-based policy allows the dynamodb:GetItem action
**注意: 使用非自定义属性如 "aws:PrincipalTag/email" 的 IAM 策略时,SDK 调用正常。但对于自定义属性,调用会失败。
如何解决此问题?
1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 在应用程序客户端设置中,对于“OpenID Connect 作用域”,添加“profile”。这允许应用程序客户端检索“profile”属性,其中包括自定义属性。
관련 콘텐츠
AWS 공식업데이트됨 2년 전
