Я создал AWS API Gateway как прокси-сервер S3 в соответствии с рекомендациями здесь . Таким образом, конечный URL-адрес выглядит примерно так:
http://api.exmaple.com/v1/ {clientbucketname} / {key}
клиент будет использовать свое заранее назначенное имя корзины в URL-адресе. Я понимаю, что если API аутентифицируется с использованием пользователя IAM, тогда API будет иметь доступ к сегменту, принадлежащему аутентифицированному пользователю IAM, и может выполнять действия только с конкретным клиентским сегментом.
Однако мой API аутентифицируется с помощью API-KEY. У каждого клиента есть свой собственный API-KEY. Как это сделать? ie API-KEY для сегмента S3, поэтому клиент A не может получить доступ к сегменту клиента B, просто изменив имя сегмента в URL-адресе.