Настройте инфраструктуру AWS, чтобы клиенты могли сбрасывать файлы

// Возможно, это слишком широкий вопрос, но я никогда раньше не работал с AWS и немного запутался — удалю вопрос, если сообщество сочтет его плохим.

Используя AWS, я хочу настроить конечную точку, где клиенты могут загружать файлы через POST или PUT с токеном для авторизации. В качестве альтернативы они также могут использовать SFTP (только запись) с токеном или идентификатором пользователя/паролем.

Итак, мне нужно:

1. Способ для клиентов каким-то образом получить безопасный токен авторизации. Есть ли в AWS продукт типа Vault, где только некоторые IP-адреса могут запрашивать токены с коротким сроком действия, чтобы затем использовать их в качестве authN/Z при попытке загрузки файлов.

2. Я предполагаю, что загруженные файлы могут храниться в S3, и мой процесс с разными разрешениями может получить доступ к загруженным файлам и делать с ними то, что мне нужно. Разобрать данные в БД (вероятно, я смогу понять это и с S3)

3. Опционально, размещенная веб-страница, где после авторизации N/Z, как в № 1, есть простая зона перетаскивания, где они могут использовать Интернет для загрузки. (по сути, логика сайта создаст для них запрос в #1)

Мне было бы интересно, как кто-то, кто знает, спроектирует это.

Некоторые идеи:

• AWS-перевод предоставляет управляемый интерфейс sFtp для S3, управление пользователями здесь. Остерегайтесь, что включение службы стоит около 216 долларов США в месяц и 0,04 доллара США за ГБ, плюс я думаю, что вам придется платить за службу каталогов AWS. Было бы дешевле запустить стандартный сервер sFtp на Lightsail.
• Пользователи IAM с правами S3 - это вариант, может быть больше работы, но НАМНОГО дешевле. Пользователи IAM ничего не стоят, и вы можете настроить корзину S3, чтобы у каждого пользователя была своя папка. Однако это больше работы для пользователя.
• Написать веб-приложение
• Используйте Дропбокс