Для загрузки S3 нам нужна пользовательская логика авторизации. Использование CloudFront перед S3 и использование Lambda @ Edge для авторизации казалось очевидным решением из-за преимуществ CloudFront.
Мы используем временные учетные данные IAM, которые мы получаем от федеративных удостоверений, для доступа к нашим службам: API, загрузка S3.
Однако мы не смогли найти способ аутентификации учетных данных IAM в Lambda @ Edge. Как получить секретный ключ доступа для проверки подписи?
Существуют инструкции для аутентификации Lambda @ Edge JWT (однако нам необходимо использовать учетные данные IAM): [https://aws.amazon.com/blogs/networking-and-content-delivery/authorizationedge-how-to-use-lambdaedge-and-json-web-tokens-to-enhance-web-application-security/]
Мы рассматривали возможность использования подписанных URL-адресов, но, похоже, они мешают кешированию браузера. Возможно, нам следует использовать API-шлюз в качестве прокси-сервера S3 - это было бы простым решением.