2012-01-17 14 views
2

たとえば、私はユーザーAとBを持つWebサイトを持っています。 両方とも自分のログインシステムを使用して自分のWebサイトにログインできます。Amazon S3ファイルの保護に関するベストプラクティス

私のウェブサイトにログインすると、S3から特定のファイルをユーザAにのみアクセスできるようにするにはどうすればよいですか?

注:「認証済みユーザー」オプションを使用してAWS管理コンソールで「権限」を確認しましたが、それは他のS3ユーザーのみを対象としていたようですが、目標を達成するために使用できますか?

答えて

1

Amazon IAMを使用する必要があります.S3バケットAのどの部分だけでなく、Bも見ることができ、それぞれには「何もしない」アクセス権がありません。一般的には、アカウントIDと秘密情報を決して使用しないでください。常に、IAMユーザーにあなたのものを実行するために必要なものがあるようにしてください。管理者のユーザーはEC2やSQS、SimpleDBなどは必要ありません。

フェデレーションアクセスは、任意のユーザーがあなたのウェブサイトにサインインして12時間のアクセス権しか与えられないようにするのに最適です。 S3のセクションでのみ動作するアクセス用の特別なAWSIDが表示されます。

+0

アドバイスをいただきありがとうございますが、本当にAWS内でユーザーを作成する必要がありますか?私は、期限切れのURLが仕事をしなければならないということをどこかで読んだことがあります。 AWS内でユーザーを作成する必要はないという印象を受けています。 明確にする:自分のWebサイトにログインしているとき(AWSにユーザーアカウントを持っている必要はありません)にのみ、自分のWebサイトから自分に割り当てられたファイルをダウンロードさせるだけです。 – IMB

+1

フェデレーションアクセスは、期限切れのURLのようなものですが、選択したs3レポの任意の部分についてです。連合されたトークンはあなたが説明したような使い方のために作られました。あなたがしたいものに基づいて、ログインするすべての人物のid + secret +トークンのセットを構築します。ユーザーがUI /サーバー/ etcの穴を使ってS3上の別の領域にハックしようとしても、GetFederatedTokenを呼び出したときに与えたアクセス権しか持たないため、動作しません。 –

+0

ありがとうございます。 – IMB

関連する問題