Heroku: Usando o AWS S3 para armazenar recursos estáticos e uploads de arquivos sugere usar meu Credenciais de segurança do AWS para permitir que meu aplicativo Heroku acesse meu bucket do Amazon S3.
No entanto, não é uma prática melhor (conforme explicado em IAM Funções: Fornecer acesso a terceiros ) para usar uma função do IAM para conceder acesso ao aplicativo Heroku ao meu bucket do Amazon S3?
Se isso não for possível, a próxima melhor opção seria criar um usuário do IAM (com credenciais) apenas para uso com meu aplicativo Heroku?
As funções do IAM se aplicam aos seus servidores, não aos do Heroku, então eles não são uma opção aqui.
Sim, você pode - e deve - fornecer acesso usando um usuário do IAM com permissões limitadas, em vez de seu usuário root. Seria legal se Heroku adicionasse isso aos seus documentários, mas imagino que eles queriam manter as pessoas em primeiro lugar mais simples.