我计划将本地FTP服务器中的大型文件迁移到AWS S3。我们有大约300名员工。他们每个人都可以访问S3文件夹来上传和下载文件。
我的计划是创建一个S3存储桶,为每个员工创建IAM用户。将IAM用户放在具有IAM策略的组中,该策略允许通过使用用户名策略变量访问存储桶中的子目录。这可行吗?或者有更好的方法来实现这一目标吗?
答案 0 :(得分:0)
假设您的FTP服务器已经具有用户身份验证(本机或活动目录),您应该坚持使用现有的用户身份验证方案,并让IAM控制对存储桶级别的S3资源的访问。
虽然IAM旨在控制对AWS资源的访问,但不旨在跨第三方应用程序服务器进行用户级身份验证。使用FTP服务器实现的当前用户身份验证方法。
使用IAM权限授予从FTP服务器到S3存储桶的访问权限。这是IAM在此类实施中将扮演的角色:将AWS资源的访问权限限制为仅提供访问权限的服务。
然后,使用装载S3-bucket-as-drive驱动程序(CloudBees,s3Fs,TNTdrive等)并将每个用户主目录映射到映射到S3中用户存储桶的驱动程序。
因此,如果您的S3存储桶是s3:// my-ftp-server,请通过IAM为您的FTP服务器提供对该存储桶的读写访问权限。在ftp服务器中,将S3存储桶安装到驱动器或文件系统(比如F :),然后将每个用户主目录映射到其各自的存储桶密钥(例如f:\ john_smith)