Обычный способ назначения доступа:
- Постоянные учетные данные (например, ассоциированные с IAM User ) предоставляются только внутреннему ИТ-персоналу , ктоуправляете или используете сервисы AWS.
- Конечные пользователи веб-приложения должны быть аутентифицированы приложением (например, с помощью Amazon Cognito, LDAP, AD, Google),Затем приложение будет отвечать за генерацию предварительно подписанных URL для загрузки и выгрузки файлов.
- Для мобильных приложений , довольно часто создает временныеучетные данные, используя службу токенов безопасности , которая позволяет мобильному приложению напрямую совершать вызовы API AWS .У учетных данных могут быть ограниченные права доступа, например, возможность доступа только к одной корзине S3.
Таким образом, все сводится к тому, «как» пользователи будут получать доступ к корзине.Если они делают это напрямую, предоставьте временные учетные данные через STS.Если они делают это через приложение, то приложение будет нести ответственность за предоставление индивидуального доступа для загрузки / выгрузки.
Кстати, не всегда хорошая идея давать разные сегменты каждому пользователю, потому чтоСуществует ограничение на количество сегментов, которые вы можете создать.Вместо этого вы можете предоставить доступ к отдельным путям в том же сегменте .Правильное использование разрешений гарантирует, что они не смогут видеть / влиять на данные других пользователей.
Как это работает с пользователями IAM, см. Переменные в политиках управления доступом AWS |Блог новостей AWS