Мой сценарий выглядит следующим образом: у меня есть один сервер и несколько клиентов, которые общаются через корзины AWS S3 следующим образом:
- Клиенты загружают файлы в Загрузить корзина , которую сервер затем читает.
- Сервер загружает файлы в Download корзина , и клиент, которому предназначен файл, читает его.
Предположим, что каждый клиент отслеживает свою папку в корзине Download , поэтому он «знает», когдасоответствующий файл доступен для скачивания.
Политика доступа, которую я пытаюсь применить, следующая:
- Клиенты могут писать только в Загрузить ведро . Они не могут просмотреть его содержимое или прочитать файлы из него (даже те, которые они загрузили).
- Клиенты могут только читать из Скачать корзину (они также могут перечислять содержимое корзины). Они не могут каким-либо образом изменять содержимое корзины Download .
- Сервер может читать и записывать что угодно в обоих контейнерах.
Поскольку количество клиентов практически равнонеограниченно, я предполагаю, что все они используют одни и те же учетные данные AWS, и нет никакой специфической для клиента авторизации (это обрабатывается в другом месте с использованием токенов и основано на доступе к корзине только для записи).
Я пытался применитьвышеупомянутое использование политик пользователя и политик сегмента, используя примеры, доступные онлайн, но у клиентов, кажется, всегда есть полный доступ к блоку, таким образом, я вероятно пропускаю кое-что главное.
Возможен ли вышеупомянутый сценарий, иесли так - как?