Загрузка файлов в корзину AWS S3 без использования ключа доступа, только с использованием ключа KMS

Я работаю над реализацией функции в своем клиентском приложении для программной загрузки файла изображения или использования CLI в корзину S3, передавая только ключи KMS. Это будет общая функциональность, доступная для всех пользователей приложения. Клиент скептически относится к предоставлению своей корневой или сервисной учетной записи IAM доступа и сведений о секретном ключе для программной реализации в приложении.

Пожалуйста, предложите отраслевые стандарты и принципы AWS для реализации таких функций загрузки.


amazon-web-services amazon-s3 multifile-uploader
person Tapan Aggarwal    schedule 20.12.2019    source источник
comment
Вы всегда можете создавать пользователей/группы пользователей и назначать им доступ к этому конкретному сегменту S3 и получать от них ключи.   -  person Osama Khalid    schedule 20.12.2019
comment
Для этого вам следует использовать AWS STS. docs.aws.amazon.com/STS/latest/APIReference/Welcome. HTML. С помощью STS вы можете генерировать временные кредиты и использовать их в роли. Конечно, с детализированным доступом, у пользователя будет доступ только для загрузки объекта в S3.   -  person error404    schedule 20.12.2019
comment
В любом случае нет смысла (и это против практики сек) раздавать root-доступ. Клиент всегда может создать удостоверение и роль с минимальными привилегиями. И затем, как прокомментировано, ключи доступа к удостоверению можно использовать либо для предварительной настройки URL-адреса, либо для прямого доступа к разрешенным ресурсам.   -  person gusto2    schedule 20.12.2019

Ответы (1)


arrow_upward
0
arrow_downward

Вы не можете получить доступ с ключами KMS. неясно, где вы собираетесь запускать свое приложение.

используя предварительно подписанный URL,

Вы можете использовать предварительно подписанные URL-адреса AWS S3 — вы можете создать предварительно подписанный URL-адрес для объекта Amazon S3, это даст временный доступ для получения или изменения определенного объекта s3. этот метод в первую очередь подходит для веб-приложения. https://docs.aws.amazon.com/AmazonS3/latest/dev/PresignedUrlUploadObject.html

использование IAM-ролей

если вы собираетесь запускать приложение в AWS с помощью EC2, Lambda, ECS и т. д., вы можете использовать роли IAM. Разрешения могут быть прикреплены к ролям IAM без жесткого ввода учетных данных в приложение. https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

надеюсь это поможет

person Arun K    schedule 20.12.2019