如何允许特定 IAM 组中的用户对特定 Amazon S3 对象/文件具有读/写/删除等权限。
如果您希望控制对"数百万"个单个文件的访问,其中访问不是基于文件的路径(目录/文件夹(,则需要创建自己的身份验证方法。
这可以通过使用 Amazon S3 预签名 URL 来完成。基本上:
- 用户访问您的应用程序
- 当他们请求访问安全文件时(或者,例如,当应用程序生成包含指向此类文件的链接的 HTML 页面,甚至是图像标记中的引用时(,应用程序会生成一个有时间限制的预签名 URL
- 用户可以使用此链接/URL 访问 Amazon S3 中的对象
- 到期期限过后,URL 将不再有效
这使应用程序可以完全控制用户是否可以访问对象。
如果要使用IAM,唯一的替代方法是根据对象的路径授予访问权限。这不是为单个对象分配访问权限的好方法。