У мене є webapp, який вимагає завантаження / видалення / читання файлів у відрі S3.
Що я зробив, я створив абсолютно новий обліковий запис Amazon WebServices (він же AWS). Давайте назвемо цей рахунок AWSteam@webapp.com
Я створив відро S3, webapp-cdnколи увійшов якteam@webapp.com
Я знаю, що мені потрібен ключ і секрет, щоб мій веб-сервер міг мати доступ для читання-запису до відра.
В team@webapp.comобліковому записі AWS є сторінка облікових даних про безпеку, яка показує мені цю систему IAM.
Я створив користувача, який називається webapp_systemвсередині IAM, і групу під назвою s3_all_access. Я помістив webapp_systemКористувача всередині Групи s3_all_accessта надав ВСІЙ доступ до ВСІХ відра для членів цієї групи.
Немає можливості вибрати лише конкретні відра для доступу, коли я створив Групу.
Тепер у Користувача є свій ключ і секрет. Я також можу створити кореневі облікові дані для облікового запису, team@webapp.comщо складаються з ключових та секретних.
Моє запитання, які ключі доступу я повинен використовувати? Мене бентежить цей IAM, який я ніколи раніше не використовував. У той же час, я вдячний за більш детальний контроль авторизації користувачів.
У мене в такому ж обліковому записі S3 встановлено такі відрізки.
webapp-cdn: це для сервера LIVEwebapp-stage: це для сервера Stagingwebapp-devt: це для тестування під час розробки
Я спробував вивчити роль в IAM. Це видається непридатним.
Я не впевнений, що найкраще. В ідеалі я вважаю за краще мати унікальну пару ключів доступу для кожного відра. Це знижує шанси розробників просочити ключі до відра, відповідального за сервер LIVE.
Я прочитав FAQ, але це мене бентежило далі, ніж мене просвітило.
Порадьте, будь ласка.
Дякую.