基於Amazon Web服務構建的iPhone應用程序

Question

我正在構建一個將用戶登錄憑據存儲在AWS DynamoDB中的iPhone應用程序。在另一個DynamoDB中，我爲該用戶存儲文件的位置（存儲在S3中）。我不明白的是如何使這個安全。如果我使用的令牌自動售貨機爲該應用程序提供了一個可以訪問用戶DynamoDB的ID，那麼是否有可能任何用戶都可以訪問整個數據庫並添加或刪除他們所需的任何信息？他們也可以使用此設置訪問整個S3存儲桶。關於如何安全和正確地設置這些建議的任何建議？

我是新來的用戶數據庫管理，任何有用的資源的鏈接將不勝感激。

Answer 1

IAM權限比您想象的更加細膩。您可以允許/禁止特定的API調用，例如，您可能只允許讀取操作。您也可以只允許訪問特定的資源。在S3上這意味着您可以限制對特定文件或文件夾的訪問，但是dynamodb策略只能在表級別設置。

就我個人而言，我不會允許用戶直接訪問dynamodb - 雖然用戶能夠直接上傳到s3或從s3直接下載是一件好事（您的web服務可以在，雖然一般發出前簽署的網址）

Answer 2

關於S3和權限，您可能會發現以下問題有用的答案：

Temporary Credentials Using AWS IAM