Извините за неудобный заголовок.Каков правильный способ разоблачения AWS в API без выдачи ключей?
Я создаю API-интерфейс Python. Часть его связана с отправкой и получением данных в SQS Amazon для связи с некоторыми вещами на экземпляре EC2. Я не хочу распространять API с моими ключами амазонки, хотя.
Каков правильный способ решения такой проблемы? Должен ли я писать отдельный слой, который находится перед SQS с моей собственной аутентификацией или есть способ добавить права доступа к амазонным ключам, которые могут просто отправлять и получать сообщения в SQS, но не могут создавать дополнительные очереди или доступ к любым другие веб-сервисы?
Да, IAM (Identity and Access Management) позволяет создавать учетные данные, которые могут отправлять и/или получать Сообщения SQS. Попытайтесь использовать STS (службу маркеров безопасности AWS) для передачи временных учетных данных IAM после авторизации и авторизации клиента. Вы также можете распространять постоянные учетные данные IAM, которые разрешали доступ, но мне кажется, что вы можете открыть возможность злоупотребления своей учетной записью AWS. –
Eric Hammond - почему бы вам не поместить свой комментарий в качестве ответа? Это полно, и таким образом этот вопрос больше не будет отображаться, поскольку у него нет ответов. –