Lorsque j'utilise l'API GetFederationToken pour générer des informations d'identification temporaire, la variable de stratégie ${aws:userName} ne fonctionne pas.

Lorsque vous utilisez l'API GetFederationToken, vous devez utiliser la variable de stratégie ${aws:userID}, et non pas ${aws:userName}.

La stratégie JSON suivante illustre un exemple dans lequel la variable de stratégie ${aws:userName} a été remplacée par ${aws:userID} :

{

    "Version":"2012-10-17",

    "Statement": [

        {

             "Action": [

                "s3:PutObject",

                "s3:GetObject",

                "s3:GetObjectVersion",

                "s3:DeleteObject"

            ],

            "Resource": "arn:aws:s3:::TESTBUCKET/${aws:userid}/*",

            "Effect":"Allow"

        },

        {

             "Action":"s3:ListBucket",

             "Resource": "arn:aws:s3:::TESTBUCKET",

             "Effect":"Allow",

             "Condition": {

                    "s3:prefix": [

                        "${aws:userid}/*"

                    ]

                }

            }

        }

    ]

}

La valeur de la variable aws:userid doit correspondre à « ACCOUNTNUMBER:caller-specified-name ». Lors de l'appel de l'API GetFederationToken, la valeur du paramètre Name doit respecter les consignes définies dans GetFederationToken. Par exemple, si vous spécifiez le nom descriptif « Bob », le format correct est « 123456789102:Bob ». Il serait utilisé pour dénommer votre session et permettrait l'accès au compartiment S3 avec un préfixe qui correspond.

Important : cet exemple suppose que la section caller-specified-name (nom descriptif) de la variable aws:userid est unique. Pour éviter qu'un autre utilisateur avec le même nom descriptif n'ait pas accès aux ressources spécifiées dans la stratégie JSON, le nom description doit être unique. Pour plus d'informations sur l'utilisation des noms descriptifs dupliqués, consultez la section ID uniques.

GetFederationToken, variable de stratégie, AWS Identity and Access Management, API, aws:username, aws:userid, identifiants


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 29/03/2016