我想创建持续约 30 天的临时凭证,并且只能访问特定 S3 存储桶中的特定目录(我已经弄清楚了执行此操作的策略是什么样的)。请注意,具体目录由用户名确定。(所以它有点动态)
我已经看到了一些潜在的选择,但它们都有陷阱:
- Amazon Cognito:对于我的用例,这将变得过于复杂,因为它需要在客户端进行一些工作。
- GetFederatedToken:这似乎是最好的选择,但我的用例只允许 36 小时(3 天)的最长到期时间,我需要一些持续时间更长的东西。
AssumeRole并且GetSessionToken也有同样的问题GetFederatedToken。
如果我可以通过某种方式授予临时凭证通过 API 请求更新自己的权限(但不更改附加到它们的策略),那将是我的用例的完美选择。关于如何达到我想要的结果的任何想法?
我不想使用 IAM,因为一些用户可能在我的组织之外,而且这个数字可能会变得非常大。