可能会公开Amazon服务凭据

Question

最近，谷歌向我的一个应用程序提供了警告

您的Amazon服务凭据可能会公开。对凭据的这种暴露可能导致对AWS帐户的未经授权的访问，这可能包括相关的过度收费，以及可能未经授权访问您的数据和用户的数据。

在应用程序中，我使用亚马逊产品广告API获取和显示与某些产品相关的信息。

我使用亚马逊提供的SignedRequestsHelper类来请求数据。

我需要知道如何在Android应用程序中保护AWS密钥。

谢谢。

Answer 1

我需要知道如何在Android应用程序中保护我的AWS密钥。

一旦凭据位于客户端，您就可以考虑它们已被破坏。在应用程序中存储凭据通常是错误的。

您没有提供任何其他要求或约束，因此，不考虑任何情况，我只能提出几个想法。

• 使用只有必要权限的凭据(例如读取s3文件、dynamodb记录、.)
• 实现API (由应用程序调用)并将aws凭据存储在服务器上。然后有一个问题，您如何可靠地验证/授权移动应用程序？
• 使用aws认知可以根据自定义用户池或社交登录获取临时限制的aws凭据。