AWS S3簽名URL作為超鏈接的安全性

Question

這樣安全嗎？ 使用帶有AWS S3 Bucket對象的預簽名URL維護安全性？

<a href="https://mywebsite.s3.amazonaws.com/40.pdf?AWSAccessKeyId=[my access key]&Expires=1433297453&Signature=[this random set of numbers]">my link</a>

另一個詞 - 第1部分......

說我在存儲桶中存儲了一堆獨立的個人文件。 我想為用戶提供文件的鏈接。 顯然，每個文件都是唯一但連續命名的，我不希望人們能夠將鏈接從40.pdf更改為30.pdf並獲取不同的文件。 這個URL似乎是這樣做的。

第2部分，更重要的是......

這是安全的還是在我的存儲桶的安全性方面顯示URL的危險方法？ 很明顯，我會在這里放棄我的“訪問密鑰”，當然，不是我的“秘密”。

3年前已經回答了...抱歉。 Amazon AWS Access密鑰的安全性如何？

Answer 1

在對AWS進行API調用時使用AWS Security Credentials。 它們由兩部分組成：

• 訪問密鑰 （例如AKIAISEMTXNOG4ABPC6Q ）：這類似於用戶名。 人們可以看到它。
• 密鑰 ：這是一長串隨機字符，是您和AWS之間的共享密鑰 。 在進行API調用時，SDK會使用共享密鑰“簽署”您的API調用。 這是單向哈希，因此人們無法對您的密鑰進行反向工程。 密鑰應該保密。

簽名URL是一種授予對S3對象的時間限制訪問權限的方法。 URL包含訪問密鑰和簽名，簽名是從對象，到期時間和密鑰計算的單向哈希。

簽名URL是安全的，因為：

• 它僅在您指定的有限時間段內有效
• 它僅對您指定的Amazon S3對象有效
• 它不能用於檢索不同的對象，也不能修改時間段（因為它會使簽名無效）

但是， 任何人都可以在有效時間段內使用該URL。 因此，如果某人發布了URL，許多人可能會在到期時間之前訪問該對象。 應該權衡這種潛在的安全威脅，直接從Amazon S3提供流量，而不必運行自己的Web服務器。