Есть ли способ создать различную идентификацию (ключ доступа/секретный ключ) для доступа к ведрам Amazon S3 через REST API, где я могу ограничить доступ (например, для чтения)?Как ограничить доступ к API Amazon S3?
Да, вы можете. Документация S3 API описывает доступные вам службы Authentication and Access Control. Вы можете настроить ведро, чтобы другая учетная запись Amazon S3 могла читать, но не изменять элементы в ведре.
Ознакомьтесь с деталями на странице http://docs.amazonwebservices.com/AmazonS3/2006-03-01/dev/index.html?UsingAuthAccess.html (перейдите по ссылке «Использование проверки подлинности строки запроса») - это поддокумент к одному Greg Добавлено и описывает, как создавать URL-адреса доступа «на лету».
Это использует хэшированную форму закрытого ключа и позволяет истечение срока действия, поэтому вы можете дать краткий доступ к файлам в ведре без разрешенного неограниченного доступа к остальной части хранилища S3.
Построение URL REST довольно сложно, мне потребовалось около 3 часов кодирования, чтобы все было правильно, но это очень эффективная технология доступа.
Рекомендуемый способ - использовать IAM для создания нового пользователя, а затем apply a policy.
Так что я настраиваю другую учетную запись S3 и использую ее учетные данные (ключ/секрет)? –
Это правильно. –
Это ограничило бы их (что означает тот, у кого есть другие учетные учетные записи) от манипулирования этим общим ведром, но не будет ли у них неограниченный доступ к этой учетной записи S3 и хранить? Значит, они могли создавать ведра (ов) через API и загружать материал в их содержание? Я ищу специально для того, чтобы иметь клиентское приложение, которое может разговаривать с S3 с остальным API, но ограничено тем, что можно сделать с этими учетными данными. А именно для чтения. Возможно ли это? –