8

複数の顧客のファイルを Amazon S3 バケットに直接バックアップしています。各顧客は別のフォルダにバックアップしています。私は単純な .Net クライアントを使用しており、Windows タスクで 1 晩に 1 回実行しています。バケットへの書き込みを許可するには、クライアントに AWS アクセス キーとシークレット キーの両方が必要です (新しいペアを作成しました)。

私の問題は次のとおりです。

  1. 顧客がそのペアを使用して、自分のものではないバケットやフォルダを覗き見できないようにするにはどうすればよいですか? 「書き込み専用」アクセス ペアを作成できますか?

  2. 私はこれに正しい方法で取り組んでいますか?これは AWS のアクセス設定で解決する必要がありますか、それとも、アップロードする前に顧客のマシン (顧客ごとに異なるキー) 上のファイルをクライアント側で暗号化し、上記のクロスアクセスを回避する必要がありますか?

4

3 に答える 3

4

IAM を使用して (追加のキーペアだけでなく) 顧客ごとに個別のユーザーを作成し、各ユーザーに S3 フォルダーのみへのアクセスを許可します。たとえば、バケットの名前everybodysbucketが で、顧客 A のファイルがすべて で始まる場合userA/(および顧客 Bのファイルは で始まる場合)、顧客 A のユーザーには へのアクセス許可を、顧客 B のユーザーには へのuserB/アクセス許可を付与できます。everybodysbucket/userA/*everybodysbucket/userB/*

これにより、各ユーザーは自分のものではないリソースを見ることができなくなります。

Use は、リソースだけでなく、各ユーザーがアクセスできる特定の S3 操作を制御することもできます。はい、必要に応じてユーザーに書き込み専用のアクセス許可を付与できます。

于 2013-02-25T22:09:53.643 に答える