Аутентификация и использование пользователей iAM для доступа к S3

Question

Мой вариант использования - разрешить пользователям создавать нового пользователя / пароль, создавать папки для каждого пользователя и разрешать им загружать файлы.

Затем, когда они возвращаются, они могут войти в систему с именем пользователя / паролем.и скачать их файлы (которые используются в нашем продукте)

Мне удалось заставить большинство сотрудников работать с C # API - очень рад!Единственная проблема заключается в том, что я не могу найти способ аутентификации пользователя с помощью IAM - используя имя пользователя / пароль.

Я не хочу, чтобы конечный пользователь беспокоился о ключе / секретах и ​​длинных строках, они полагают,чтобы иметь возможность передавать эти данные (и доступ к файлам данных) с другими пользователями, чтобы помочь им.

Есть ли способ аутентификации имени пользователя и пароля IAM?Спасибо, Ури.

Answer 1

Вам необходимо использовать «федеративный доступ» - при этом в вашей системе есть пользователи с учетными записями и паролями. Затем они проходят проверку подлинности в вашей системе, и вы предоставляете им доступ на срок до 36 часов через систему на основе сеансов (зашифрованные файлы cookie или memcache и т. Д.) Для доступа к их папке.

Вы можете сделать это с помощью веб-приложения или с помощью отдельного приложения на C # для Windows, которое аутентифицируется на вашем сервере.

С помощью веб-приложения ваши пользователи входят в систему, пользователь / пароль, затем вы сохраняете зашифрованный файл cookie или аналогичный файл, чтобы ваше веб-приложение могло создавать предварительно подписанные сообщения, загружать файлы и т. Д., Пока они вошли в систему. нужно, чтобы они когда-либо видели AWSID / Secret.

Answer 2

Насколько я понимаю вопрос, это, кажется, доступно.Вам просто нужно, чтобы они вошли в консоль по ссылке для входа на домашнюю страницу AWS IAM.

Затем вам нужно будет назначить пароль учетной записи пользователяи добавьте для них политику, чтобы они могли получить доступ к соответствующему сегменту S3.Вам нужен список всех моих ведер, чтобы пройти первый экран консоли.Я только что попробовал и что-то вроде следующих работ:

{
  "Statement": [
    {
      "Sid": "Stmt1363222128",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "Stmt136328293",
      "Action": [
        "s3:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::your_bucket_name"
      ]
    }
  ]
}

Answer 3

Нет. Вам нужно будет использовать ключ / секреты. Это короткий ответ. Когда вы создаете нового пользователя в IAM, он дает этому конкретному пользователю свой собственный ключ / секреты. Все, что им нужно, это войти в систему, взять свой ключ / секрет и ввести его.

Управление пользователями IAM и их доступом. Вы можете создавать пользователей в IAM, назначать пользователям индивидуальные учетные данные безопасности (т. е. ключи доступа, пароль, устройства многофакторной аутентификации) или запрос временного учетные данные для обеспечения доступа пользователей к сервисам AWS и Ресурсы. Вы можете управлять разрешениями, чтобы контролировать, какие операции Пользователь может выполнять. - aws.amazon.com/iam