我有一个Django应用程序,它将定期将事情上传到S3。我想,这将会是很容易存储S3密钥和密码在我的设置文件:S3的自定义用户权限
S3_KEY = "whateverkeything"
S3_SECRET = "mykeysecret"
然后,考虑到安全性和权限限制的想法,只要适用,重新考虑这种做法。我的应用程序只需要GET和PUT/POST对象,绝不会删除对象,永远不会创建DELETE存储桶等等。另外,如果有人能够访问我的AWS密钥和密钥,他们可能会启动100个大型EC2实例,运行我陷入一大笔债务。
有没有办法限制访问权限并为S3创建一个新的“用户”,它只能拥有所描述的权限?还是我太偏执?