向客户端发送AWS访问密钥+机密时是否存在安全风险,因此他们可以对s3进行操作,例如列表对象和写入对象?我所指的客户是网络,Android和iOS。
我知道有一种方法可以生成2小时的动态凭据,所以我不担心客户可以访问永久。
答案 0 :(得分:3)
您不应将访问密钥和密钥公开给公开。由于它在Web上很容易打开浏览器开发人员工具中的文件,并且即使它是一个对AWS资源具有完全受限制的策略的IAM用户,也可以发现它的全部灾难。
对于dyanamic凭证,请检查IAM角色概念,其中AWS STS负责密钥的轮换以及您不需要共享任何凭据的角色。
对于移动客户端,请检查https://aws.amazon.com/mobile/sdk/