我正在通过仅传递KMS密钥的方式,在客户端应用程序中以编程方式实现功能,或使用CLI在S3存储桶中上传图像文件。这将是一项通用功能,并且可供应用程序的所有用户使用。客户端对于将其IAM根或服务帐户访问权限和秘密密钥详细信息提供给应用程序以编程方式实施表示怀疑。
请提出实施此类上传功能的行业标准和AWS原则。
答案 0 :(得分:0)
您无法使用KMS密钥进行访问。目前尚不清楚您将在哪里运行应用程序。
您可以使用AWS S3预签名URL-您可以为Amazon S3对象生成一个预签名URL,它将为获得或修改特定s3对象提供临时访问权限。此方法主要适用于网站应用程序。 https://docs.aws.amazon.com/AmazonS3/latest/dev/PresignedUrlUploadObject.html
如果要使用EC2,Lambda,ECS等在AWS中运行应用程序,则可以使用IAM角色。可以将权限附加到IAM角色,而无需对应用程序进行硬编码凭据。 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html
希望这会有所帮助