S3バケットを特定のIAMユーザーに限定してAPIトークンでアクセスする方法

Question

S3にユーザーのファイルを保存するDropboxに似たアプリがあります。ユーザーが行うことができる唯一の方法は、アプリ経由です（Dropboxに似ています）。

により、有効なプライバシーの問題に、私たちはバケツの中身だけのアプリを経由してからアクセスできるように、そのS3バケットのアクセスを制限したい - 私たちはトークンAPIを作成し、アクセスするためにそれを使用しましたため内容

rootアカウントがその特定のS3バケットの内容をトラバースできるようにすることさえありません。

しかし、管理上の介入が必要な場合は、特定のユーザーアカウントに物理的にS3バケットに移動し、その時点で必要な処理を実行できるようにする必要があります。管理タスクが完了したら、アクセスを取り消す必要があります。

あなたはこのようなシナリオに遭遇しましたか？このようなものをどうやって実装するのですか？ AWSアカウントに関連付けられて自分の考え

Answer 1

ルート資格ため

おかげで完全な権限を持っています。たとえそうでなくても、ブロックパーミッションを削除することができます。企業は通常、マルチファクタ認証（MFA）デバイスを追加して安全な場所にロックすることで、rootログインを保護します。

あなたは簡単に特定のIAMユーザーを除いて、すべてのアクセスを拒否しバケットポリシーを書くことができ、そして、あなたのアプリケーションは、いずれかのIAMのいずれかへのユーザーことを使用することができます。

• ダウンロードコンテンツ、その後は直接それを提供しますクライアントに、または
• 彼らはアマゾンS3
からオブジェクトをダウンロードできるように、その後のクライアントにそれらのURLを提供し、Amazon S3の中のプライベートオブジェクトへの期間限定のアクセス権を付与 事前に署名したURLを作成します。

一時アクセスは、バケットポリシーを変更することで付与できます。もちろん、通常のユーザーがバケットポリシーを変更できるようにする必要があります。

この機密情報については、おそらく別のAWSアカウントを作成する必要があります。そうすれば、選択された少数の人しかそのアカウントにアクセスすることができず、誤ってアクセスを許可することがなくなります。たとえば、システム管理者がアカウントAのすべてのS3バケットへのアクセスを許可されている場合、アカウントBのバケットへのアクセスはありません。