Ковш AWS S3 ограничивает доступ

Question

Я бы хотел создать сайт на S3 bucket.Веб-сайт предназначен для администратора нашей команды, чтобы представить список имен студентов, чтобы эти имена могли быть сохранены в базе данных.

Теперь, если бы я хотел, чтобы все члены команды могли просматривать веб-сайт, но только разрешитьодин человек (администратор команды), чтобы действительно представить имена, что мне делать?Я думаю, что это проблема с правами доступа, но не совсем понятно, как AWS справляется с этим.Я думаю, связанные с пользователями / ролями IAM?Но что именно я должен делать?

Большое спасибо

================

Не забывайте упомянуть, мой дизайн включает в себя всю цепочку, такую ​​как S3 / staticвеб-сайт, Javascript, лямбда-функция, API-шлюз, DynamoDB.Мне интересно, на каком этапе и как мне контролировать доступ?

Другое соображение заключается в том, должен ли я создать учетную запись для администратора группы, чтобы только он мог войти и отправить?Может не нужно?

Answer 1

Да, вы можете использовать роли IAM для предоставления доступа на чтение / запись к БД.(краткий ответ)

S3 подходит только для размещения вашего статического веб-сайта, тогда как если вы хотите ограничить элементы управления чтением и записью, я бы предложил вам перейти либо на экземпляр AWS RDS, либо на AWS Aurora.

С помощью RDS вы можете использовать реплику для чтения, которая предоставит доступ на чтение только для просмотра пользователям, и только вы, как администратор, можете вставлять / обновлять таблицы.

Это решение также сделает ваши БДВремя отклика лучше. Поскольку чтение будет обрабатываться другим экземпляром, а запись - другим.

Надеюсь, это поможет.

Answer 2

S3 Сайты статичны.Это означает, что вы не можете выполнить код для выполнения каких-либо действий, таких как запрос к базе данных.

Для реализации вашей цели вам нужно будет объединить несколько служб.

Сайты S3: ваше хранилище S3 будет хранитьвсе файлы, такие как CSS, JavaScript, HTML, изображения, ...

JavaScript: когда клиент заходит на ваш сайт, функции JavaScript будут загружены вместе с вашим HTML для обеспечения обработки на основе клиента.

Amazon Cognito: Cognito будет управлять аутентификацией.Используя STS, ваши клиенты получат временные ключи доступа для доступа к ресурсам AWS.

DynamoDB: это будет ваша база данных.Используя ключи доступа от Cognito / STS, пользователи получат доступ к базе данных.Уровень доступа контролируется вашими политиками AWS IAM, которые вы создали для каждого пользователя или группы пользователей.

В Интернете существует множество примеров такого дизайна, и несколько книг "без серверов" были написаны со всейпроекты обозначены.