访问s3存储桶

Question

是否可以为s3中的不同存储桶提供不同的访问权限？详细地讲，我在s3中有10个不同的存储桶，每个存储桶都与不同的人相关。因此，我只想让他们访问他们的特定存储桶（通过共享URL或类似的东西） 这可能吗？

Answer 1

分配访问权限的常规方法是：

• 永久凭证（例如与 IAM用户关联）仅提供给管理或使用AWS服务的内部IT员工。
网络应用程序的最终用户应由该应用程序进行身份验证（例如，使用Amazon Cognito，LDAP，AD，Google）。然后，该应用程序将负责生成用于上传和下载文件的预签名URL 。
• 对于移动应用程序，使用安全令牌服务创建临时凭证是很常见的，它允许移动应用程序直接进行AWS API调用< / strong>。可以为凭据授予有限的权限，例如只能访问一个S3存储桶。

因此，实际上，这取决于用户如何访问存储桶。如果他们直接这样做，则可以通过STS提供临时凭据。如果他们通过应用程序进行操作，则该应用程序将负责提供个人上载/下载的访问权限。

顺便说一句，为每个用户分配一个不同的存储桶不一定是一个好主意，因为可以创建的存储桶数量受到限制。相反，您可以在同一存储段中访问单独的路径。正确使用权限将确保他们不会看到/影响其他用户的数据。

有关IAM用户如何使用它，请参阅：Variables in AWS Access Control Policies | AWS News Blog