如何只允许特定用户访问 Amazon S3 上的内容

Question

我是 Amazon S3 的新手。我需要一些有关 S3 存储解决方案的帮助。这是我的问题。

我在 Amazon S3 中创建了一个存储桶。现在每个人都可以访问我的存储桶 URL（例如https://BUCKET_NAME.s3.amazonaws.com），他们可以看到存储桶中的所有文件。我只希望我的移动应用程序用户能够查看/查看/下载存储桶中的文件。但是如果我阻止文件/将存储桶中的文件设置为私有，我的移动应用程序用户将无法查看他/她的文件。

那么问题来了：

• 有没有办法保护对 AWS S3 的访问？或者如何只允许特定用户访问 Amazon S3 上的内容？是服务器端身份验证还是其他？

如果你知道怎么做，你能给我举个例子吗？谢谢:)

注意：我正在使用 Parse JavaScript SDK、AWS S3、AWS EC2、Elastic beanstalk 和带有 Angular 2 的 Ionic 2。

如果您认为我遗漏了任何细节，请告诉我，以便我补充：)

Answer 1

有多种选项可用于保护特定用户的访问。

• 如果您使用的是 AWS Cognito，您可以使用 IAM 策略授予对 S3 中特定存储桶和对象的访问权限，方法是使用 AWS JavaScript SDK 并直接从 Angular 应用程序访问您在使用 AWS Cognito（或通过 Cognito 联合）进行身份验证后收到的凭证.
• 您还可以使用 AWS CloudFront Signed Urls 和 Signed Cookies 来保护对 S3 对象的访问。要访问内容，使用后端端点（对于经过身份验证的用户），您可以生成签名 URL 或签名 Cookie，Angular 应用程序将使用它们通过 CloudFront 访问 S3。
• 另一种选择是从服务器端访问 S3 并返回文件（与其他方法相比，这会在规模上为您的服务器增加大量开销，因此不推荐，除非您有特定的场景来动态修改文件或内容检索前）
• 您还可以使用 AWS API Gateway 作为 S3 的代理来提供文件。此处适用 10MB 文件大小限制，因为 API Gateway 最多可以传输 10MB 的文件。

Answer 2

您可以通过 S3 存储桶访问特定的 IAM 角色。因此，创建一个新用户并将 IAM 策略附加到该用户。使用该角色配置您的 Lambda。如果您愿意，您可以根据每种用户类型创建多个角色（例如：- 移动用户唯一的角色，桌面用户的另一个角色等）

请详细了解如何将 Amazon S3 存储桶访问权限限制为特定 IAM 角色here