AWS Amplify JS 中 S3 存储访问权限与身份 ID 的深度解析

问题背景

在使用 AWS Amplify JS 开发 React Native 应用时，许多开发者会遇到 S3 存储访问权限的问题。特别是当用户上传文件到 S3 后，其他用户无法访问这些文件的情况。这通常与身份 ID 的配置和使用方式有关。

核心概念解析

用户身份 ID 与 Cognito 用户 ID 的区别

在 AWS Amplify 的存储系统中，存在两种不同的用户标识：

1. Cognito 用户 ID (sub)：这是 Cognito 用户池分配给每个用户的唯一标识符，通常是一个简短的 UUID 字符串。

2. 身份池身份 ID：这是 Cognito 身份池分配给每个身份的唯一标识符，格式为 区域:UUID（如 eu-north-1:be14......36aaa70）。这个 ID 用于 S3 存储的访问控制。

S3 存储路径结构

当使用 Amplify Storage 模块上传文件时，文件会根据访问级别被存储在不同的路径下：

• 公开访问：bucketname/public/文件路径
• 受保护访问：bucketname/protected/身份ID/文件路径
• 私有访问：bucketname/private/身份ID/文件路径

常见问题解决方案

获取当前用户的身份 ID

在客户端代码中，可以通过以下方式获取当前用户的身份 ID：

import { fetchAuthSession } from 'aws-amplify/auth';

const getIdentityId = async () => {
  const { identityId } = await fetchAuthSession();
  return identityId;
};

跨用户访问受保护文件

要实现用户 B 访问用户 A 上传的文件，需要：

1. 用户 A 上传文件时记录其身份 ID
2. 用户 B 访问时提供用户 A 的身份 ID

const getOtherUserFileUrl = async (filename, ownerIdentityId) => {
  return await getUrl({
    key: filename,
    options: {
      accessLevel: "protected",
      targetIdentityId: ownerIdentityId,
    },
  });
};

Lambda 函数中获取身份 ID

在 Lambda 函数（如后确认触发器）中获取身份 ID 的方法：

exports.handler = async (event, context) => {
  // 从事件对象中获取身份 ID
  const identityId = event.request.userAttributes['cognito:identity_id'];
  
  // 如果没有直接获取到，可能需要通过身份池 API 查询
  // ...
  
  return event;
};

最佳实践建议

1. 用户资料存储：在用户注册时，将身份 ID 与用户信息一起存储在数据库中。

2. 文件元数据管理：为每个上传的文件记录所有者身份 ID，便于后续权限管理。

3. 版本升级：考虑升级到 Amplify Gen2，它提供了更灵活的权限管理选项。

4. 路径自定义：在 Gen2 中，可以自定义 S3 存储路径，不再强制使用身份 ID 作为路径组成部分。

总结

理解 AWS Amplify 中身份 ID 的工作原理对于正确实现 S3 存储访问控制至关重要。通过合理记录和使用身份 ID，开发者可以构建出既安全又灵活的存储解决方案。对于新项目，建议直接采用 Amplify Gen2 以获得更好的开发体验和更灵活的权限管理能力。