Gibt es eine Möglichkeit, eine andere Identität zu erstellen (Zugriffsschlüssel/geheimer Schlüssel), um über die REST-API auf Amazon S3-Buckets zuzugreifen, wo ich den Zugriff einschränken kann (z. B. nur lesen)?Wie kann der Zugriff auf Amazon S3 API eingeschränkt werden?
Ja, Sie können. Die S3-API-Dokumentation beschreibt die verfügbaren Dienste Authentication and Access Control. Sie können einen Bucket einrichten, damit ein anderes Amazon S3-Konto Elemente im Bucket lesen, aber nicht ändern kann.
Überprüfen Sie die Details unter http://docs.amazonwebservices.com/AmazonS3/2006-03-01/dev/index.html?UsingAuthAccess.html (folgen Sie dem Link zu "Verwenden von Abfrage-String-Authentifizierung") - Dies ist ein Filialdokument zu dem einen Greg Posted und beschreibt, wie Sie Access-URLs im laufenden Betrieb generieren.
Dies verwendet eine Hash-Form des privaten Schlüssels und ermöglicht Ablauf, so dass Sie einen kurzen Zugriff auf Dateien in einem Bucket geben können, ohne den uneingeschränkten Zugriff auf den Rest des S3-Speichers zu erlauben.
Der Aufbau der REST-URL ist ziemlich schwierig, ich brauchte ungefähr 3 Stunden Programmierung, um es richtig zu machen, aber dies ist eine sehr leistungsfähige Zugriffstechnik.
Die empfohlene Methode ist die Verwendung von IAM zum Erstellen eines neuen Benutzers und dann apply a policy für diesen Benutzer.
Also habe ich einen anderen S3-Account eingerichtet und verwende dann seine Zugangsdaten (Schlüssel/Geheimcode)? –
Das ist richtig. –
Das würde sie (das heißt, jemand, der diese anderen Konto-Credentials hat) davon abhalten, diesen geteilten Bucket zu manipulieren, aber hätten sie nicht ungehinderten Zugang zu diesem S3-Konto und -Shop? Das heißt, sie könnten Buckets über die API erstellen und Inhalte nach Herzenslust hochladen. Ich suche speziell nach einer Möglichkeit, eine Client-App zu haben, die mit S3 mit der Restful-API sprechen kann, aber in dem, was mit diesen Anmeldeinformationen getan werden kann, eingeschränkt ist. Nämlich nur lesen. Ist das möglich? –