Cognitoを利用して、s3へのアクセスを許可する方法

webアプリの画面をスマホアプリ上で表示しようとしています。いわゆるガワネイティブです。
本体のwebアプリはS3上にアップロード済みです。
データベースを触るプログラムをjsで書いているので、パブリックアクセスはさせていません。

ここで実現したいことは表題の通り「Cognitoを利用して、s3へのアクセスを許可」することです。

現在スマホアプリのログインにcognitoを利用しています。
その情報を使って「スマホアプリのログインをしたユーザーのみ、スマホからwebviewで表示したwebアプリを使用できる」ようにしたいと思っています。
そういったことは可能なのでしょうか？

また可能でしたら概要だけでも教えていただけたらと思います。
この公式サイトを参考にIAMロールを編集したりもしたのですが、うまくいきませんでした。

補足

yu_1985さん

コメントありがとうございます。

具体的に行ったこととして、iam(authとunauth)にs3へのアクセス権を追記しました。
お送りいただいたサイトでいうところの下記部分です。
https://dev.classmethod.jp/articles/get-aws-temporary-security-credentials-with-cognito-id-pool-by-aws-cli/#toc-3

以下のようなポリシーをiam(authとunauth)に追加しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::hogehogebucket/index.html",
                "arn:aws:s3:::hogehogebucket"
            ]
        }
    ]
}

これでアクセスできるはずなのですが、なぜかAccessDenyとなってしまいます。

yu_1985

2022/04/22 03:25

何を試してどこがわからなかったのかがこれだと不明なので「その公式サイト」を参考に何をどうやってうまく行かなかったのか書いてください。基本的にはそこに書いてあることが参考になるはずです。また、他には調べてみましたか？ S3に限らず、一般にCognitoで認証したユーザーに権限を渡す方法についてはどこか参考にしたんでしょうか。例えばこの辺などは。 https://dev.classmethod.jp/articles/get-aws-temporary-security-credentials-with-cognito-id-pool-by-aws-cli/

hood

2022/04/22 08:00

コメントありがとうございます。具体的に行ったこととして、iam(authとunauth)にs3へのアクセス権を追記しました。お送りいただいたサイトでいうところの下記部分です。 https://dev.classmethod.jp/articles/get-aws-temporary-security-credentials-with-cognito-id-pool-by-aws-cli/#toc-3 以下のようなポリシーをiam(authとunauth)に追加しています。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::hogehogebucket/index.html", "arn:aws:s3:::hogehogebucket" ] } ] } ``` これでアクセスできるはずなのですが、なぜかAccessDenyとなってしまいます。

yu_1985

2022/04/22 09:05

質問欄はMarkdownで記載できなくて読みづらいので本文に追記してください。設定したのはそれだけですか？認証済みユーザーとそうでないユーザーで同じ権限だと認証の有無関係なくなってしまいます。また単純なS3へのアクセスの許可ではなく、認証機能をつけてS3にある静的ファイルにアクセスしたい、が今回の要件のような気がするのですがどうでしょう。その場合取るべきアプローチが変わってくると思うのですが…。

hood

2022/04/22 09:36

コメントありがとうございます。 >質問欄はMarkdownで記載できなくて読みづらいので本文に追記してください。読みにくいとのことだったので、質問欄に補足しました。 >設定したのはそれだけですか？設定したのは他にS3のほうで「パブリックアクセスをすべてブロック」をオフにしました。(これの意味もまだよくわかっていませんが...) >認証済みユーザーとそうでないユーザーで同じ権限だと認証の有無関係なくなってしまいます。私もそう思って最初はauthだけにS3へのアクセスの許可をつけたのですが、解決しなかったのでやみくもにunauthにも許可をつけました。 >認証機能をつけてS3にある静的ファイルにアクセスしたい、が今回の要件のような気がする今回はcognitoを利用してスマホアプリにログインしたユーザーのみアクセスできるようにしたいので、そういう意味ならあっています。取るべきアプローチが変わってくるとのことですが、どのようなアプローチが考えられるでしょうか。