Если вы хотите контролировать доступ к «миллионам» отдельных файлов, доступ к которым не зависит от пути (каталога / папки) файлов, вам потребуется создать собственный метод аутентификации .
Это можно сделать с помощью предварительно подписанного URL-адреса Amazon S3 .В основном:
- Пользователи получают доступ к вашему приложению
- Когда они запрашивают доступ к защищенному файлу (или, например, когда приложение генерирует HTML-страницу, содержащую ссылку на такой файл)или даже ссылку в теге Image), приложение создает предварительно подписанный URL-адрес с ограниченным сроком действия
- Пользователи могут использовать эту ссылку / URL-адрес для доступа к объекту в Amazon S3 * 1016.*
- После истечения срока действия URL-адрес больше не работает
Это дает вашему приложению полный контроль над тем, может ли пользователь получить доступ к объекту.
Единственная альтернатива, если выиспользовать IAM будет означать предоставление доступа на основе пути объекта.Это плохой способ назначить доступ отдельным объектам.