Ограниченный доступ к блокам Amazon S3
Действительно ли возможно так или иначе ограничить доступ к учетной записи Amazon S3. Мне действительно не нравится идея распределить мой секретный ключ доступа ко всем моим приложениям, которые хотят получить доступ просто к единственному блоку на моей учетной записи. Если кто-то получает доступ к одному из приложений, я мог бы освободить все свои данные, хранившие на S3.
Одним путем я думал, чтобы сделать это, будет создавать вторую учетную запись S3 и предоставлять ему доступ ко всего одному блоку основной учетной записи, но это не действительно отличное решение.
Другая хорошая вещь для меня состояла бы в том, чтобы сделать вторичный отчет, только пишут (но не изменяют/удаляют), и доступ для чтения. Тем путем я мог загрузить резервные копии или другие файлы и быть уверен, что они не потеряются.
1 ответ
Я думаю, что это ответит на Ваш вопрос:
Прокрутите вниз и начните читать в ответе Michael Fisher.
НЕ ДЕЛАЙТЕ hardcode Ваш ключ на клиенте. Правильный способ сделать это (через безопасный канал) для поставки предварительно созданного запроса с зашифрованной подписью - эта подпись может быть создана с API, обеспеченным S3.
Можно извлечь состав зашифрованной подписи reqest от одного из объектов запроса в классе S3.cs (я обращаюсь к реализации C# - не уверенный, который Вы используете, но они должны быть симпатичным analagous). Затем имейте свой клиент, надежно запрашивают объект от Вашей стороны сервера, и а не плюются назад объектом, плюются назад форматированным запросом. Я полагаю, что это - самая безопасная техника, предполагая снова надлежащее обеспечение канала (SSL, или безотносительно схемы, которую Вы выбираете).