AWS Amplify项目中解决Cognito身份池变量解析问题

问题背景

在使用AWS Amplify的Storage模块时，开发者经常会遇到S3存储桶权限配置的问题。一个典型场景是希望通过Cognito身份池中的用户唯一标识符（sub）来动态控制用户对S3存储桶中特定目录的访问权限。

常见配置问题

许多开发者会按照AWS文档建议，在IAM策略中使用${cognito-identity.amazonaws.com:sub}变量来动态引用Cognito用户的唯一标识符。例如：

{
    "Effect": "Allow",
    "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject"
    ],
    "Resource": [
        "arn:aws:s3:::my-bucket/users/${cognito-identity.amazonaws.com:sub}",
        "arn:aws:s3:::my-bucket/users/${cognito-identity.amazonaws.com:sub}/*"
    ]
}

问题现象

当配置完成后，开发者可能会遇到以下情况：

1. 访问S3存储桶时收到"ACCESS DENIED"错误
2. 使用硬编码路径可以正常工作，但使用变量路径失败
3. ListBucket和上传操作都被拒绝

根本原因

经过分析，这类问题通常是由于Cognito身份池的"属性映射"配置不正确导致的。具体来说：

1. 属性映射未启用：Cognito身份池默认可能没有启用属性映射功能
2. 默认映射缺失：即使启用了映射，如果没有正确设置默认映射，变量也无法解析
3. IAM角色关联问题：身份池使用的IAM角色可能没有正确关联到策略

解决方案

要解决这个问题，需要执行以下步骤：

1. 登录AWS控制台，导航到Cognito服务
2. 选择身份池，进入"编辑身份池"页面
3. 启用属性映射：在"属性映射"部分，确保已经启用
4. 设置默认映射：将sub字段映射为默认值
5. 验证IAM角色：确保身份池使用的IAM角色确实附加了包含变量引用的策略

验证步骤

配置完成后，可以通过以下方式验证：

1. 使用Amplify Auth模块进行用户认证
2. 获取当前用户的身份ID
3. 尝试使用Storage模块进行文件上传和列表操作
4. 检查S3存储桶中文件是否被正确放置在用户专属目录下

最佳实践建议

1. 测试环境先行：先在测试环境中验证配置，再应用到生产环境
2. 最小权限原则：只授予必要的S3权限
3. 日志监控：启用CloudTrail和S3访问日志，便于问题排查
4. 策略版本控制：对IAM策略使用版本控制，便于回滚

总结

AWS Amplify与Cognito、S3的集成提供了强大的用户专属存储解决方案，但需要正确配置身份池的属性映射才能使变量引用正常工作。通过本文的解决方案，开发者可以快速定位和解决这类权限问题，实现安全的用户隔离存储方案。