亚马逊AWS官方博客

Tag: STS

基于 AWS IoT 证书授权最终用户访问云上资源

前言 企业在 AWS 上构建自己的应用系统时,常常需要授权应用系统的最终用户直接访问 AWS 资源(例如:允许最终用户访问非公开权限的 Amazon S3 存储桶)。AWS 通过 Identity and Access Management (IAM)服务授权用户访问 AWS 资源。在面对最终用户时,企业可以选择 Amazon Cognito 结合 IAM从应用程序端控制 AWS 资源访问。这需要企业将 Amazon Cognito 与管理最终用户的身份提供商(IDP, Identity Provider)进行集成,以实现 AWS 资源访问控制[1]。 本文将会介绍一种基于 x.509 证书的认证方式,并结合 AWS Identity and Access Management (IAM) 服务完成对相关资源的授权。从实现角度上看,该方式具有如下特点: 无需与第三方 IDP 即成,实现简单; 无需预付费用,适合对成本敏感的企业; 基于 509 的认证方式,安全可靠   关于 AWS IoT 在 AWS 上,用户可以通过 AWS […]

Read More

认证授权专题(一) : Cognito, OIDC 实现 S3 精细化权限控制

S3 是一个对象存储服务,非常适合存储海量文件。它不仅支持从服务器端上传/下载 S3 中的内容, 同时允许客户从客户端直接上传/下载 S3 中的资源。在实际应用过程中,我们经常遇到这样的需求:只允许用户 上传/下载/删除/修改(CRUD) 自己的文件。本文将探讨利用 Amazon Cognito Identity Pool, OpenID Connect 实现精细化权限控制,限制用户只能访问自己的文件。

Read More

认证授权专题(二) : AWS STS, OpenID Connect 实现 S3 精细化权限控制

S3 是一个对象存储服务,非常适合存储海量文件。它不仅支持从服务器端上传/下载 S3 中的内容, 同时允许客户从客户端直接上传/下载 S3 中的资源。在实际应用过程中,我们经常遇到这样的需求:只允许用户 上传/下载/删除/修改(CRUD) 自己的文件。 本文将探讨如何利用 AWS STS, OpenID Connect 实现精细化权限控制,实现用户只能上传和查看自己在 S3 中的文件。

Read More