aws s3 用户上传的文件,如何只允许用户访问

2022-01-18 13:14:52 +08:00
 naoshier
前端开发同学,自己在做后端。

用户通过我们的产品(网站形式),上传的文件保存在 s3 ,如何能只允许用户自己访问(其它人拿到文件的链接不可以访问。) aw3 的文档看着摸不着头脑,是否只能通过 aws IAM 做到?
4146 次点击
所在节点    云计算
14 条回复
qinxi
2022-01-18 13:35:58 +08:00
设置权限 private. 后端计算签名
thevita
2022-01-18 13:42:31 +08:00
"只允许用户自己" 关键在于怎么确定是“用户自己”, 也就 用什么认证方式, 如果你的这个“用户自己”是 IAM 里的我想你应该知道怎么做了,如果这个“用户自己”是别的地方的恐怕就不行了
ElmerZhang
2022-01-18 13:57:09 +08:00
s3 权限设为私有
你们自己网站做用户系统
用户上传文件时你们要记录用户 ID 和对应文件地址
用户要下载的时候通过你们网站生成的一次性下载地址来下载
haozheliu
2022-01-18 14:08:09 +08:00
CloudFront + lambda edge 吧
Mithril
2022-01-18 14:08:49 +08:00
自己做的用户系统就得你自己管,用 AWS 的 IAM 做的用户管理才可以直接套 S3 的权限。
cominghome
2022-01-18 14:08:56 +08:00
这个需求很常见啊,用不上 IAM 。
S3 bucket 设置成私有,上传时记录好文件所有者信息,用户点击文件-->后端鉴权-->跳转到加签的 URL
cominghome
2022-01-18 14:13:02 +08:00
参考: https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html

如果想实现类似一次性的效果,可把有效时间设置短一些
ThanksSirAlex
2022-01-18 14:27:58 +08:00
设置私有,服务端统一保存秘钥,是不是用户本人,在自己的应用里面判断
doyel
2022-01-18 14:44:11 +08:00
IAM 白名单或者是认证 token
BeautifulSoap
2022-01-18 15:00:30 +08:00
你是要直接访问 s3 链接还是要在 s3 链接外套一层服务再访问?

直接访问 s3 链接需要首先在 IAM 里配置对应的 user 和 user 的策略只能访问指定的 bucket ,然后获取到用户的两个 KEY ,然后用这两个 KEY 来获取。至于怎么在代码里用,直接找 aws 的 sdk 就行,用 sdk 里附带的 s3 类配合认证信息获取图像
但这么做有个问题在于你必须明文把 aws 用户的两个 key 交给客户端,而且用户多了不可能每个用户都配置一个 user

所以一般做法还是在 s3 外套个自己写的服务器,在服务器内鉴权,成功之后通过你服务器获取 s3 中的图片而非直接拿 s3 的 url
awfe
2022-01-18 15:24:41 +08:00
虽然 S3 的 bucket 是可以通过设置来 Policy 控制哪个 User 可以访问,你还是得自己包装一层吧,你会给每个用户创建一个 IAM User 吗。如果是用 Cognito 的话好像还是得用户池和角色绑定,这块不太熟。
git00ll
2022-01-18 18:28:37 +08:00
可以使用加签的链接在后端鉴权。但其他用户拿到了加签后的链接,肯定也是可以访问的。
naoshier
2022-02-07 15:16:24 +08:00
@qinxi @ElmerZhang @cominghome @ThanksSirAlex @doyel @BeautifulSoap @git00ll 谢谢各位!最近在忙别的没来得及看。
naoshier
2022-02-07 15:21:45 +08:00
@haozheliu 谢谢。不过不想对 aws 特定的服务有依赖,例如 lambda 这种的。方便后续如果有需要,可以随时迁移出去。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/828979

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX