V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
naoshier
V2EX  ›  云计算

aws s3 用户上传的文件,如何只允许用户访问

  •  
  •   naoshier · 126 天前 · 2966 次点击
    这是一个创建于 126 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前端开发同学,自己在做后端。

    用户通过我们的产品(网站形式),上传的文件保存在 s3 ,如何能只允许用户自己访问(其它人拿到文件的链接不可以访问。) aw3 的文档看着摸不着头脑,是否只能通过 aws IAM 做到?
    14 条回复    2022-02-07 15:21:45 +08:00
    qinxi
        1
    qinxi  
       126 天前
    设置权限 private. 后端计算签名
    thevita
        2
    thevita  
       126 天前
    "只允许用户自己" 关键在于怎么确定是“用户自己”, 也就 用什么认证方式, 如果你的这个“用户自己”是 IAM 里的我想你应该知道怎么做了,如果这个“用户自己”是别的地方的恐怕就不行了
    ElmerZhang
        3
    ElmerZhang  
       126 天前
    s3 权限设为私有
    你们自己网站做用户系统
    用户上传文件时你们要记录用户 ID 和对应文件地址
    用户要下载的时候通过你们网站生成的一次性下载地址来下载
    haozheliu
        4
    haozheliu  
       126 天前
    CloudFront + lambda edge 吧
    Mithril
        5
    Mithril  
       126 天前
    自己做的用户系统就得你自己管,用 AWS 的 IAM 做的用户管理才可以直接套 S3 的权限。
    cominghome
        6
    cominghome  
       126 天前
    这个需求很常见啊,用不上 IAM 。
    S3 bucket 设置成私有,上传时记录好文件所有者信息,用户点击文件-->后端鉴权-->跳转到加签的 URL
    cominghome
        7
    cominghome  
       126 天前
    参考: https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html

    如果想实现类似一次性的效果,可把有效时间设置短一些
    ThanksSirAlex
        8
    ThanksSirAlex  
       126 天前
    设置私有,服务端统一保存秘钥,是不是用户本人,在自己的应用里面判断
    doyel
        9
    doyel  
       126 天前
    IAM 白名单或者是认证 token
    BeautifulSoap
        10
    BeautifulSoap  
       126 天前
    你是要直接访问 s3 链接还是要在 s3 链接外套一层服务再访问?

    直接访问 s3 链接需要首先在 IAM 里配置对应的 user 和 user 的策略只能访问指定的 bucket ,然后获取到用户的两个 KEY ,然后用这两个 KEY 来获取。至于怎么在代码里用,直接找 aws 的 sdk 就行,用 sdk 里附带的 s3 类配合认证信息获取图像
    但这么做有个问题在于你必须明文把 aws 用户的两个 key 交给客户端,而且用户多了不可能每个用户都配置一个 user

    所以一般做法还是在 s3 外套个自己写的服务器,在服务器内鉴权,成功之后通过你服务器获取 s3 中的图片而非直接拿 s3 的 url
    awfe
        11
    awfe  
       126 天前
    虽然 S3 的 bucket 是可以通过设置来 Policy 控制哪个 User 可以访问,你还是得自己包装一层吧,你会给每个用户创建一个 IAM User 吗。如果是用 Cognito 的话好像还是得用户池和角色绑定,这块不太熟。
    git00ll
        12
    git00ll  
       126 天前
    可以使用加签的链接在后端鉴权。但其他用户拿到了加签后的链接,肯定也是可以访问的。
    naoshier
        13
    naoshier  
    OP
       106 天前
    @qinxi @ElmerZhang @cominghome @ThanksSirAlex @doyel @BeautifulSoap @git00ll 谢谢各位!最近在忙别的没来得及看。
    naoshier
        14
    naoshier  
    OP
       106 天前
    @haozheliu 谢谢。不过不想对 aws 特定的服务有依赖,例如 lambda 这种的。方便后续如果有需要,可以随时迁移出去。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3257 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:09 · PVG 13:09 · LAX 22:09 · JFK 01:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.