如何為在S3中上傳的文件啟用AWS-S3-安全策略

Question

我正在開發一個應用程序，其中我們將客戶的視頻，pdf和其他機密文件上傳到S3存儲桶中。

當前，客戶可以在videogular組件（Angular組件）中播放這些視頻，並且可以在PDF組件（Angular Component）中讀取PDF文件。

我擔心它的安全性。

我希望客戶只能播放/閱讀他們的視頻/ pdf。 沒有人可以下載/播放/閱讀這些內容。

1.） 我該如何實現？

2.）我必須在S3存儲桶上啟用/禁用哪些功能。 （S3存儲桶策略）

3.）我們沒有配置IAM角色。 我們需要嗎？

我對此一無所知...如果有人可以指導/提供一些有用的鏈接，那將是很好的。

提前致謝。

Answer 1

我假設每個用戶在S3存儲桶中都有自己的文件夾。

1.我將在后端處理文件夾和文件，並使用用戶ID僅向每個用戶顯示應該看到的文件。

假設您的S3存儲桶命名為“清單”，而我的用戶名是ABC123，則應該有一個文件夾：s3：// inventory / ABC123 /。 或s3：//庫存/（您的自定義用戶ID）/

我將根據用戶ID在我的應用中將URL設置為S3存儲桶。

當您向用戶顯示文件時，必須更改瀏覽器中的url，以使他們看不到文件的真實路徑。

2。

• 如果需要訪問文件的先前版本，則可以激活版本控制。
• 記錄訪問請求。
• 文件加密
• 標簽，如果您擔心成本

3.（如果您是為用戶指的是IAM角色），如果您處理應用程序對S3存儲桶的訪問，則不需要它。

Answer 2

最后，我得到了答案。

第一個問題的答案：@Cyrus在他的答案中提到的內容是絕對正確的。 除了該答案，我想在其中添加更多點。

正如他正確地提到的...

當您向用戶顯示文件時，必須更改瀏覽器中的url，以使他們看不到文件的真實路徑。

這給了我有關CDN（內容交付網絡）服務器的提示 。

最后，我們將選擇CDN-S3組合 。

這意味着客戶將只暴露於CDN網址。 （不是S3網址），這些將是預簽名的網址 （安全和臨時網址）。

您可以從此處了解更多信息： http : //docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html

（2）和（3）的答案：如@Cyrus所述。