получить доступ к AWS S3 из Java с помощью роли IAM

Question

Приложение размещено локально, а не в EC2.Можно ли получить доступ к AWS S3 с помощью роли IAM вместо профиля или учетных данных из Java?Команда безопасности выразила обеспокоенность по поводу хранения учетных данных локально, поскольку они уязвимы.

Насколько я гуглил, я нашел варианты доступа с использованием учетных данных, хранящихся в среде или в .aws в качестве профиля.Если нам нужна аутентификация на основе ROLE, то предполагается, что приложение будет развернуто в EC2.Но у нас сервер размещен локально.Пожалуйста, предоставьте, если у вас есть какие-либо предложения.

Answer 1

Приложение размещено локально, а не в EC2.Можно ли получить доступ к AWS S3 с помощью роли IAM вместо профиля или учетных данных из Java?

Роли служб привязаны к сервисам AWS, поэтому, если коротко, для локального сервера вам необходимо использовать ключи API AWS.

Команда безопасности выразила обеспокоенность по поводу хранения учетных данных локально, поскольку она уязвима.

К сожалению, в конце вам нужно где-то хранить учетные данные.Даже используя такие сервисы, как Cognito или STS, вам нужно где-то хранить учетные данные для сервиса (эффективно - для любого внешнего или облачного сервиса, независимо от того, какое облако или сервис вы можете использовать).

ИМХО лучшее, что вы можете сделатьиспользует выделенные учетные данные AWS (ключи API) только с теми разрешениями, которые действительно необходимы.

Answer 2

Я не уверен, что понимаю, что вы хотите сделать, но почему бы не назначить выделенного пользователя на эту роль?

Еще одна вещь, которая может оказаться полезной, - использование временных учетных данных.В общем, у Amazon есть два сервиса для этого - Cognito и STS (насколько я понимаю, Cognito использует STS за кулисами).Они имеют различные ограничения, но в целом они позволяют получать учетные данные в течение ограниченного времени.Таким образом, вы получите идентификатор доступа, секрет (а также идентификатор сеанса), но они будут временными.