0

我有一个用例,我需要任意客户端来接收我生成并传递给它的 AWS 凭证(密钥和秘密)。凭据应在几分钟后过期。客户需要发布到 s3 存储桶。

客户端将不是任何 AWS 账户的一部分,也不能使用任何多因素身份验证。这似乎阻止我使用 IAM 角色。

似乎安全令牌服务是亚马逊为类似用例提供的服务,但我无法对其进行按摩以从中获得我需要的东西。我需要一个角色 ARN,或者将会话令牌传递给客户端以在他们的请求中使用。客户端可以没有会话令牌的概念 - 只有 AWS 密钥/秘密。

简而言之,我希望能够生成不需要多因素身份验证或会话令牌的临时 AWS 密钥/秘密对。

这可能吗?谢谢!

4

1 回答 1

1

这正是使用预签名 URL 上传对象的用例 - Amazon Simple Storage Service

基本上:

  • 您的应用程序确定用户是否有权上传/下载文件
  • 它生成一个包含过期时间的预签名 URL
  • 客户端使用 URL 上传/下载到 S3
  • 过期时间后,该 URL 不再有效
于 2018-06-15T22:38:54.497 回答