2

У меня есть веб-приложение, которое требует загрузки / удаления / чтения файлов внутри корзины S3.

Я создал новую учетную запись Amazon WebServices (также известную как AWS). Давайте назовем этот аккаунт AWS team@webapp.com

Я создал S3 webapp-cdn когда вошел в систему как team@webapp.com

Я знаю, что мне нужен ключ и секрет, чтобы мое веб-приложение могло иметь доступ для чтения и записи к корзине.

Учетная запись team@webapp.com AWS имеет страницу с учетными данными безопасности, на которой показана эта система IAM.

Я создал пользователя с именем webapp_system внутри IAM и группу с именем s3_all_access . Я поместил пользователя webapp_system в группу s3_all_access и предоставил ВСЕМ доступ ко ВСЕМ сегментам для членов этой группы.

При создании группы невозможно выбрать только определенные сегменты для доступа.

Теперь у пользователя есть свой ключ и секрет. Я также могу создать учетные данные root для учетной записи team@webapp.com состоящей из ключа и секрета.

У меня вопрос, какие ключи доступа я должен использовать? Я смущен этим IAM, который я никогда не использовал прежде. В то же время я ценю наличие более детальных элементов управления авторизацией пользователей.

У меня есть следующие настройки корзины в той же учетной записи S3.

  • webapp-cdn : это для LIVE сервера
  • webapp-stage : это для промежуточного сервера
  • webapp-devt : для тестирования во время разработки

Я пытался исследовать роль в IAM. Это кажется неподходящим.

Я не уверен, что лучше. В идеале я предпочитаю иметь 1 уникальную пару ключей доступа для каждого сегмента. Это должно уменьшить вероятность того, что разработчики утекут ключи в корзину, ответственную за LIVE-сервер.

Я прочитал FAQ, но это смутило меня больше, чем просветило меня.

Пожалуйста, порекомендуйте.

Спасибо.

0