¿Existe alguna manera de crear una identidad diferente (clave de acceso/clave secreta) para acceder a los depósitos de Amazon S3 a través de la API REST donde puedo restringir el acceso (solo lectura, por ejemplo)?¿Cómo restringir el acceso a la API de Amazon S3?
Sí, puedes. La documentación de la API S3 describe los servicios Authentication and Access Control disponibles para usted. Puede configurar un depósito para que otra cuenta de Amazon S3 pueda leer pero no modificar elementos en el depósito.
Consulte los detalles en http://docs.amazonwebservices.com/AmazonS3/2006-03-01/dev/index.html?UsingAuthAccess.html (siga el enlace "Uso de la autenticación de cadena de consulta"): este es un subdocumento del Greg Post y describe cómo generar URL de acceso sobre la marcha.
Esto utiliza una forma hash de la clave privada y permite la caducidad, por lo que puede dar un acceso breve a los archivos en un depósito sin acceso permitido sin restricciones al resto de la tienda S3.
Construir la URL REST es bastante difícil, me tomó aproximadamente 3 horas de codificación para hacerlo bien, pero esta es una técnica de acceso muy poderosa.
La forma recomendada es usar IAM para crear un nuevo usuario, luego apply a policy para ese usuario.
Entonces configuro otra cuenta S3 y uso sus credenciales (clave/secreto) ¿entonces? –
Eso es correcto. –
Eso los limitaría (es decir, alguien que tiene esta otra cuenta de crédito) a manipular ese segmento compartido, pero ¿no tendrían acceso sin restricciones a esa cuenta y tienda de S3? Es decir, ¿podrían crear un cubo (s) a través de la API y subir cosas al contenido de su corazón? Estoy buscando específicamente una forma de tener una aplicación de cliente que pueda hablar con S3 con la API de descanso, pero está restringida en lo que se puede hacer con esas credenciales. Es decir, de solo lectura. ¿Es esto posible? –