Tengo un servidor, que debería proporcionar credenciales temporales al cliente. Las credenciales se transmitirán utilizando HTTPS.
El cliente debe poder cargar archivos S3, así como descargarlos. La preocupación que tengo es la siguiente:
Tengo varios usuarios que acceden SOLAMENTE a su propio directorio: /Users/someUser/myfile.png
Puede establecer políticas para permitir o denegar S3 en general, pero no puede otorgar solo el acceso a una ruta específica.
¿Esto es seguro?
Si entiendo correctamente, está generando inicios de sesión IAM en su servidor y proporcionándolos al cliente para que puedan acceder directamente a S3. Si ese es el caso entonces no; no es seguro ya que estos usuarios podrían acceder a todos sus recursos S3.
Puede usar políticas de depósito para establecer permisos por usuario, pero el servidor tendría que editarlos o crearlos automáticamente en el momento en que se crearon los inicios de sesión de IAM, ya que no se sabrían de antemano los ARN.
Si se autentican solo en su servidor y su servidor está administrando la conexión S3, es probable que la parte de S3 esté bien y que las principales preocupaciones sean la seguridad del propio servidor.
Lea otras preguntas en las etiquetas passwords access-control file-access