Я работаю в системе, которая использует Amazon S3 для хранения конфиденциальных пользовательских носителей, к которым пользователи получают доступ через дистрибутив Cloudfront. Я блокирую доступ publi c, используя Проверка подлинности параметров запроса Cloudfront , так что мы создаем безопасную строку, используя закрытый ключ Cloudfront. Эта строка авторизации может быть присоединена к URL-адресу Cloudfront, чтобы разрешить доступ только к соответствующим ресурсам S3.
Однако я немного запутался в том, как лучше всего распространить этот закрытый ключ среди моей команды для разработки. Обычно у нас есть секретный производственный ключ, который работает только для нашего производственного дистрибутива, и менее секретный ключ разработки, который работает в наших промежуточных дистрибутивах.
Однако документы Cloudfront указывают, что пары ключей могут быть созданы только root AWS пользователь , которому разрешено максимум 2 ключа (для целей ротации ключей). В то же время в документах указано, что вы можете указать разные учетные записи в качестве доверенных подписчиков и ограничить их указанием c рассылки. Если это так, я думаю, что смогу заблокировать определенные c дистрибутивы для ключей, созданных определенными c пользователями.
Может ли кто-нибудь помочь мне понять:
- если root пользователь на самом деле является единственным пользователем, который может создавать пары ключей облачного фронта? (Может быть, через Организации , я могу создать других пользователей, не являющихся IAM, root?)
- как мы можем создать пару ключей разработки, которая разрешает доступ только к нашим дистрибутивам разработки?
Спасибо за помощь!