У меня есть веб-приложение, которое требует загрузки / удаления / чтения файлов внутри корзины S3.
Я создал новую учетную запись Amazon WebServices (также известную как AWS). Давайте назовем этот аккаунт AWS team@webapp.com
Я создал S3 webapp-cdn
когда вошел в систему как team@webapp.com
Я знаю, что мне нужен ключ и секрет, чтобы мое веб-приложение могло иметь доступ для чтения и записи к корзине.
Учетная запись team@webapp.com
AWS имеет страницу с учетными данными безопасности, на которой показана эта система IAM.
Я создал пользователя с именем webapp_system
внутри IAM и группу с именем s3_all_access
. Я поместил пользователя webapp_system
в группу s3_all_access
и предоставил ВСЕМ доступ ко ВСЕМ сегментам для членов этой группы.
При создании группы невозможно выбрать только определенные сегменты для доступа.
Теперь у пользователя есть свой ключ и секрет. Я также могу создать учетные данные root для учетной записи team@webapp.com
состоящей из ключа и секрета.
У меня вопрос, какие ключи доступа я должен использовать? Я смущен этим IAM, который я никогда не использовал прежде. В то же время я ценю наличие более детальных элементов управления авторизацией пользователей.
У меня есть следующие настройки корзины в той же учетной записи S3.
webapp-cdn
: это для LIVE сервераwebapp-stage
: это для промежуточного сервераwebapp-devt
: для тестирования во время разработки
Я пытался исследовать роль в IAM. Это кажется неподходящим.
Я не уверен, что лучше. В идеале я предпочитаю иметь 1 уникальную пару ключей доступа для каждого сегмента. Это должно уменьшить вероятность того, что разработчики утекут ключи в корзину, ответственную за LIVE-сервер.
Я прочитал FAQ, но это смутило меня больше, чем просветило меня.
Пожалуйста, порекомендуйте.
Спасибо.