如何解决在S3存储桶中保护文档
我正在尝试将包含极其敏感信息的文档存储在s3存储桶中,并正在构建前端仪表板,以便经过身份验证的用户可以查看那些文档。我应该如何保护s3存储桶,以使这些文件不仅是公共链接,而且仍可以通过我正在构建的仪表板进行访问? (我对s3非常陌生,非常感谢您的帮助:))
解决方法
有很多方法,取决于您的应用程序和要求的具体情况。仅列举一些示例:
-
如果可以通过互联网访问仪表板,则可以按照Restricting Access to Amazon S3 Content by Using an Origin Access Identity
中的说明,通过CloudFront启用对s3对象的安全访问。 -
如果仪表板完全内部,并且在没有任何Internet连接的私有EC2实例上运行,则可以使用VPC gateways to S3从实例访问S3。要连接到实例,可以使用VPC,直接连接或堡垒/跳跃主机。
-
如果要使用 AWS控制台访问对象,则可以使用IAM组,用户或角色来控制对存储桶及其对象的访问。
还有其他可能性,具体取决于用例,您可以根据需要混合和匹配它们。 S3可以通过IAM策略,存储区策略和ACL对对象进行细粒度访问控制。
,我想,您的用例看起来更像这样
假设您拥有一个域名(www.example.com或example.com)的网站,并带有指向存储在Amazon S3存储桶awsexamplebucket1中的照片和视频的链接。默认情况下,所有Amazon S3资源都是私有的,因此只有创建资源的AWS账户才能访问它们。要允许从您的网站上对这些对象进行读取访问,您可以添加一个存储桶策略,该存储桶策略使用s3:GetObject
键使用条件允许aws:Referer
许可,该get请求必须源自特定的网页。以下策略使用StringLike
条件键指定aws:Referer
条件。
{
"Version":"2012-10-17","Id":"http referer policy example","Statement":[
{
"Sid":"Allow get requests originating from www.example.com and example.com.","Effect":"Allow","Principal":"*","Action":["s3:GetObject","s3:GetObjectVersion"],"Resource":"arn:aws:s3:::awsexamplebucket1/*","Condition":{
"StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
}
}
]
}
,
在AWS中构建IAM用户。 仅授予那些IAM用户的只读访问权限。 您可以在控制台或AWS文档中找到有关IAM用户的所有详细信息
,Amazon S3中的所有对象默认为私有。
要授予对对象的访问权限,请使用以下方法之一:
- 添加桶策略,以授予对桶的全部(或部分)访问权限。公开存储桶的理想选择,但不适合您的用例。 通过允许IAM用户或IAM角色访问存储桶或对象,
- 通过 IAM策略授予访问权限。这适合于授予特定工作人员访问权限,或授予特定软件产品(例如后端应用程序)的访问权限。但是,最终用户将无法直接访问S3中的内容。
- 使用预签名URL ,该URL提供对私有对象的时限访问。这可能是您的用例的最佳选择。
要了解预签名URL的工作原理,请想象一个共享照片的网站:
- 用户验证到网络应用程序
- 然后用户请求访问私人照片
- 应用程序确定用户是否有权查看照片(例如,检查数据库以检索用户权限和照片上的共享设置)
- 如果用户有权看到照片,则应用程序将预签名的URL返回给用户。这可以是照片的链接,也可以在页面上的
<img>
标签中使用URL。 - 当用户的浏览器访问URL时,Amazon S3会验证URL上的签名并检查URL是否过期。如果一切正常,S3将把文件内容提供给用户。但是,如果时间已过,则访问将被拒绝。
使用预签名URL的好处是您的应用程序完全控制用户可以访问的逻辑。如果用户被授权访问,那么他们可以直接从S3获取文件,而无需通过应用程序。这提供了非常高的规模和高可用性。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。