我想在S3上上传一个大文件(〜40G)。
我想授予一个特定的人下载此文件的权限(并且仅此文件)
什么是最佳选择? (无论我是否必须为该人创建/使用IAM帐户):
我如何使用端到端加密(并假设我与该人拥有安全通道)(在她下载文件后)将解密所需的信息传递给她?
答案 0 :(得分:3)
假设您拥有一种安全的沟通方式,并信任对方,那么最简单的解决方案是generate a pre-signed URL。
是否创建单独的IAM用户取决于您:创建单独的用户将使您能够轻松地使用CloudTrail来跟踪其活动。
此解决方案的局限性在于,拥有URL的任何人都可以访问该对象。因此,如果您没有安全的方法向用户提供URL,那是不合适的;如果您不信任用户不共享URL,那也是不安全的。
但是,在后一种情况下,提供文件的任何机制都是不安全的:一旦用户物理上拥有了数据,她就可以用它做任何想做的事情。唯一安全的解决方案是提供一些API,该API可以以无法用于重建文件的形式访问文件中的数据。
关于端到端加密,您将提供HTTPS URL,因此在传输过程中也将进行加密。对于静态加密(在用户系统上),您需要先加密,然后再上传到S3。