Heroku: использование AWS S3 для хранения статических ресурсов и загрузки файлов предлагает использовать мой Учетные данные безопасности AWS чтобы мое приложение Heroku получало доступ к моей корзине Amazon S3.
Однако разве это не лучшая практика (как описано в Роли IAM: предоставление доступа третьим лицам) использовать роль IAM, чтобы предоставить моему приложению Heroku доступ к моей корзине Amazon S3?
Если это невозможно, может ли следующий лучший вариант создать пользователя IAM (с учетными данными) только для использования с моим приложением Heroku?
Роли IAM применяются к вашим серверам, а не к серверам Heroku, поэтому здесь они не подходят.
Да, вы можете и должны предоставить им доступ, используя пользователя IAM с ограниченными правами вместо вашего пользователя root. Было бы неплохо, если бы Heroku добавила это в свои документы, но я полагаю, они хотели, чтобы люди сначала делали это проще.