使用API网关代理AWS服务(例如S3)效果很好。使用自定义授权商和AWS服务集成的AWS API网关安全性
然而,似乎安全是事后才想到的。用于AWS服务集成的执行角色似乎在使用客户授权人时留下了综合服务。
API网关中的自定义授权程序返回principalId
(例如userId)和IAM策略文档。如何为服务集成的执行角色构建一个IAM策略,这需要例如将userId/principalId放在S3对象的路径中。
I.e.使用自定义授权人+ S3集成如何将对象访问权限仅保留在principalId是对象标记或路径的一部分的特定密钥空间中? http://docs.aws.amazon.com/AmazonS3/latest/dev/object-tagging.html或http://docs.aws.amazon.com/AmazonCloudWatch/latest/events/policy-keys-cwe.html