Eu tenho um webapp que requer o upload / exclusão / leitura de arquivos dentro de um bucket do S3.
O que fiz foi criar uma nova conta Amazon WebServices (AWS). Vamos chamar essa conta da AWS [email protected]
Eu criei um bucket S3 webapp-cdn quando logado como [email protected]
Eu sei que preciso de uma chave e um segredo para que meu aplicativo da web possa ter acesso de leitura / gravação ao bloco.
A conta [email protected] da AWS tem uma página de credenciais de segurança que mostra este sistema IAM.
Eu criei um usuário chamado webapp_system dentro do IAM e um grupo chamado s3_all_access . Eu coloquei o usuário webapp_system dentro do grupo s3_all_access e concedeu o acesso ALL a TODOS os buckets para membros deste grupo.
Não há como selecionar somente intervalos específicos para acesso quando eu criei o Grupo.
Agora, o usuário tem sua própria chave e segredo. Também posso gerar credenciais raiz para a conta [email protected] que consiste em chave e segredo.
Minha pergunta é quais chaves de acesso devo usar? Estou confuso com este IAM que nunca usei antes. Ao mesmo tempo, agradeço por ter controles de Autorização do Usuário mais granulares.
Eu tenho a seguinte configuração de buckets na mesma conta S3.
webapp-cdn : isto é para o servidor LIVE webapp-stage : isto é para o servidor Staging webapp-devt : isto é para testes durante o desenvolvimento Eu tentei explorar o Papel no IAM. Parece ser inadequado.
Não tenho certeza do que é melhor. Idealmente, prefiro ter um único par de chaves de acesso para cada balde. Isso reduz as chances de os desenvolvedores vazarem chaves para o bucket responsável pelo servidor LIVE.
Li as Perguntas frequentes , mas isso me confundiu ainda mais do que me esclareceu.
Por favor, informe.
Obrigado.