Если у вас есть безопасный способ общения, и доверять другому человеку, , тогда самое простое решение - создать предварительно подписанный URL .
Независимо от того, создаете ли вы отдельного пользователя IAM или нет, создание отдельного пользователя позволит вам легко отслеживать его действия с помощью CloudTrail .
Ограничение этого решения заключается в том, что любой, кто имеетURL может получить доступ к объекту.Поэтому неуместно, если у вас нет безопасного способа предоставления URL-адреса пользователю, а также небезопасно, если вы не можете доверять пользователю не предоставлять URL-адрес.
В этом последнем случае, однако,любой механизм предоставления файла будет небезопасным: как только пользователь получит физические данные, он сможет делать с ним все, что захочет.Ваше единственное безопасное решение заключается в предоставлении некоторого API, который обращается к данным из файла в форме, которую нельзя использовать для восстановления файла.
Что касается сквозного шифрования, вы должны предоставить URL-адрес HTTPS, поэтомубудет иметь шифрование в пути.Для шифрования в состоянии покоя (в системе пользователя) необходимо выполнить шифрование перед загрузкой на S3.