aws php s3 限制访问,「CloudFront + S3」使用签名URL进行访问限制

最新推荐文章于 2023-01-05 15:03:49 发布
最新推荐文章于 2023-01-05 15:03:49 发布
阅读量833 收藏
点赞数
文章标签: aws php s3 限制访问

543b6eae825c4b2ac9e4e8a42284e726.png在这里使用CloudFront + S3,搭建生成签名URL的CDP(Private Cache Distribution)。以下是操作流程;

创建Amazon S3

创建CloudFront Distributions

生成签名URL

创建Amazon S3

在这里创建Amazon S3以后,把index.html文件上传到S3上。

登录AWS管理界面

点击S3

点击[创建存储桶]

082fb3edc8a388bab089b2beee107473.png

点击[上传]

点击[添加文件]

7ac06b6cb45780f46853e9398939536a.png

点击[开始上传]

00a496e5c530c7b21fa2b4da35b7c02e.png

确认状态为[完成]

5a989dfdf664bd1d08a49ba2e6d24181.pngindex.html的内容如下。

private

只可以从CloudFront访问的S3!

创建CloudFront Distribution

点击[Create Distribution]

db8a3d90e2c4126363b9c4eddbf98f4a.png

点击[Get Started]

8bdc2e5c934dca2e8bcb0672c8555d62.png点击[Get Started]之后会显示具体的配置页面。

Orgin Settings

Origin Domain Name:aws.s3.amazonaws.com

Origin Path:默认

Origin ID:S3-awsok

Restrict Bucket Access:Yes

Origin Access Identity:Create a New Identity

Comment:access only from CloudFront

Grant Read Permissions on Bucket:Yes,Update Bucket Policy

80da140499cb5d71367ad4d65b072321.png

Path Pattern:默认

Viewer Protocol Policy:HTTP and HTTPS

Allowed HTTP Methods:GET,HEAD

Object Caching:Use Origin Cache Headers

Minimum TTL:0

Forward Cookies:None

Whitelist Cookies:有效化Forward Cookies的话,只允许Whitelist的Cookie转发到原始服务器

Forward Query Strings:No

Smooth Streaming:No

Restrict Viewer Access:Yes

Trusted Signers:Self

23d89dd72d05235cd8e98d1d3963a47f.png Distribution Settings在这里使用默认配置。

配置完成之后点击[Create Distribution] 4dcb33ff1b5bbf580b2b1f60ec879832.png

CloudFront Distributions的状态为[In Progress]。

cca13600c53c35007569224c0f4887a1.png等待10分中之后状态变为[Deployed],并且Domain Name是这次创建的CloudFront Distribution的域名。

b762f90acb56f2bffc045c086f9fba0f.png配置完之后,查看aws桶的权限发生了变化。查看方法如下

在AWS管理控制台选择S3

选择桶以后,点击[属性]

点击[权限]

点击[编辑存储桶策略]

{

"Version": "2008-10-17",

"Id": "PolicyForCloudFrontPrivateContent",

"Statement": [

{

"Sid": "1",

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity E3L6IN8Q7KY7GE"

},

"Action": "s3:GetObject",

"Resource": "arn:aws:s3:::awsok/*"

}

]

}

进行以上配置以后,只允许用签名URL进行访问,直接输入URL的页面如下。

c087fc80b9e0902e2ae8e87fd9ed9568.png

创建签名URL

为了创建签名URL,首先创建CloudFront密钥对。

点击创建CloudFront密钥对

点击[CloudFront密钥对]

1149a5a02caaf9c394293cd2ccb88a9b.png点击[创建新的密钥对] a0fce6cc8e2e18d2ad54f62bab49f322.png

点击[下载私有密钥文件]

点击[下载公有密钥文件]

确认文件以下载之后,点击[关闭]

私有密钥文件:pk-密钥对ID.pem

公有密钥文件:rsa-密钥对ID.pem

e891fd79d368a5ffc19821d7f6c847b1.png

使用AWS SDK for PHP生成签名URL。

把私有密钥上传到Amazon EC2以后,创建如下php文件。创建php文件之前需安装AWS SDK for PHP,安装方法参考 >> 安装AWS SDK for PHP

private_key:CloudFront私有密钥的路径

key_pair_id:CloudFront密钥对的ID

HostUrl:创建CloudFront的DomainName

expires:签名URL的超时时间

# cat cloudfront.php

require_once("vendor/autoload.php");

date_default_timezone_set('Asia/Chongqing');

use Aws\CloudFront\CloudFrontClient;

$client = CloudFrontClient::factory(array(

'private_key' => '/path/to/your/cloudfront-private-key.pem',

'key_pair_id' => 'cloudfront key pair id',

));

$HostUrl = 'CloudFront DomainName';

$resourceKey = 'index.html';

$expires = time() + 300;

$signedUrl = $client->getSignedUrl(array(

'url' => $HostUrl . '/' . $resourceKey,

'expires' => $expires,

));

print $signedUrl;

执行cloudfront.php后,把生成签名URL粘帖到浏览器。

# php cloudfront.php

https://d1e2kb4c29diqv.cloudfront.net/index.html?Expires=1430200266&Signature=fAwSd3JgwY2WlP78G11QvOhT2kGNvhKnurNbctMs0rgCejl7VsCwlI0xHWsZA6pxaeqfTmUdtzfup4Cn6IvKWTQmNCsFCPiQQ4Uzyyj0vQpajFj60I1bnKbe0XopbY4~MvT13ZrHyJQNSeJTyVjLfPQvW482skLNF3SQSDufPSl2gokCxSoX83U7RGTvkVMJt8RWdgsx4sjEXo3z4KBtDoa4P9LecDYBtidH-xwzgmtFGeLyA12KdEwUVp6LdHHle3BOYOmWyqwgowDWI6T4-S2Rn4tHlrXGpqLpt5w5~h3bH-w~FDG0v6BaUJjvu2EgMJlqqdXc24w5d3oyE8tMFw__&Key-Pair-Id=APKAJEQ4CITOZRVLKRZQ

19c66c96e6808f142560cd0a81a0b62e.png

过5分钟访问的话,会出现如下页面。

5de72b1bf900f9c997d473c04b733a04.png

也可以通过以下php代码生成限时URL。

require_once("vendor/autoload.php");

date_default_timezone_set('Asia/Chongqing');

use Aws\S3\S3Client;

$config = array(

'key' => 'Access Key Id',

'secret'=> 'Secret Access Key',

);

$s3 = S3Client::factory($config);

$url = $s3->getObjectUrl("awsok", "index.html", "1 minutes");

print $url;

参考网站

weixin_39978863
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
整改 S3 桶和 CloudFront 的访问控制策略
TechEnthusiast的博客
06-18 53
在一个项目中,我们发现了一个安全隐患:S3 桶和 CloudFront 的访问控制策略存在问题。
aws签名 url_如何使用AWS上的预签名URL授予对私人文件的访问权限
weixin_26636643的博客
09-25 2059
aws签名 urlWhen trying to design a solution architecture where the application can generate and store private files on a storage option like S3, and allow the possibility for these files to be accesse...
aws签名 php,创建亚马逊AWS S3签名URL PHP - php
weixin_31080131的博客
03-28 949
根据此链接http://docs.aws.amazon.com/aws-sdk-php/v2/guide/service-s3.html,我可以轻松地创建一个预签名链接,只需将寿命添加到getObjectUrl$signedUrl = $client->getObjectUrl($bucket, 'data.txt', '+10 minutes');// > https://my-bu...
php aws cloudfront基于时间或ip的签名url实现防盗链
fangdong88的博客
04-21 596
1.aws cloudfront后台创建公有密钥并将密钥添加至密钥组 文档:https://docs.aws.amazon.com/zh_cn/AmazonCloudFront/latest/DeveloperGuide/private-content-trusted-signers.html 2. 配置awscloudfront 分配域名的行为 编辑行为,开启限制查看器访问,选择可信密钥组,添加之前创建的密钥组 3.php实现代码 use Aws\CloudFro...
java url 通配符,CloudFront中带有通配符的签名URL
weixin_42251888的博客
03-13 185
我正在使用PHP签署URL以通过CloudFront访问我的S3存储桶,使用下面的代码签署单个文件可以正常工作 . 但是在生成带有通配符的字符串后,用实际文件名代替,例如, URL中的index.html或main.css(根据文档here)但访问被拒绝 .function getSignedURL($resource, $timeout){//This comes from key pair y...
CloudFront签名URL
fxtxz2的专栏
07-26 785
目的 使用CloudFront签名URL机制来实现,下载文件安全。 前提 已经为CloudFront设置好密钥组,并且启用CloudFront签名URL机制来下载s3文件选项。 Maven ... <aws.java.sdk1.version>1.12.31</aws.java.sdk1.version> ... <dependency> <groupId>com.amazonaws</groupId> &l
亚马逊云(AWS)S3+ CloudFront存储
sinat_36891648的博客
12-31 933
亚马逊云参考文档: 亚马逊简单存储服务入门指南:AWS S3入门指南 1.没有AWS账号的需要注册一个AWS账号 2.创建一个IAM账户 创建IAM管理员用户和组参考文档 电子邮件地址和密码的这种组合也称为root用户凭据 首次创建一个AWS账户root用户身份。该用户可以完全访问账户中的所有AWS服务和资源。 AWS强烈建议不要使用root用户凭据进行日常访问。 3.Amazon S3 + CloudFront 数据存储及CDN分发 参考资料 ...
cloudfront-autoindex:AWS Lambda解决index.html S3CloudFront混乱
05-09
不再将index.html与AWS CloudFront / S3混为一谈 问题 考虑您有一个静态生成的网站-一堆常用资源,包括html文件。 为了方便起见,您可以使用开发Web服务器在本地测试此站点,并且一切正常。 您设置了一个私有S3存储...
aws_cloudfront_s3使用Jenkins在AWS Public Cloud中自动创建资源以执行Terraform代码
02-16
使用Jenkins在AWS Public Cloud中自动创建资源以执行terraform代码。 图1:项目流程图 本项目范围 在此Ec2实例中,使用我们在步骤1中创建的密钥和安全组。 并将 开发人员已将代码升级到github仓库中,仓库也有...
terraform-aws-s3-log-storage:此模块创建一个S3存储桶,适用于从其他AWS服务(例如S3CloudFront和CloudTrail)接收日志
02-04
该模块创建一个S3存储桶,适用于从其他AWS服务(例如S3CloudFront和CloudTrails接收日志。 它实现了可配置的日志保留策略,使您可以有效地管理不同存储类(例如Glacier ) Glacier日志,并最终使数据完全过期...
aws s3 php,如何通过PHP访问AWS S3
weixin_39669163的博客
03-11 504
tldr;您有各种AWS SDK版本>根据您在消息中提供的链接(link),您已经安装了php sdk v3>根据您的示例,您使用PHP sdk v2>创建一个客户端 – 简单的方法// Include the SDK using the Composer autoloaderrequire 'vendor/autoload.php';$s3 = new Aws\S3\S3Cli...
aws php s3 限制访问,AWS实战 - 利用IAM对S3访问控制
weixin_33172728的博客
03-21 590
介绍要对S3访问权限做控制,既可以使用基于身份的策略(IAM用户策略),也可以使用基于资源的策略(ACL和存储桶策略)。访问一个存储桶的权限控制流程如图所示:访问存储桶中的对象的权限控制流程如图所示:当 Amazon S3 收到对象操作请求时,它会将基于资源的所有相关权限(对象访问控制列表 (ACL)、存储桶策略、存储桶 ACL)和IAM用户策略转换为将在运行时进行评估的策略集。然后它会通过一系...
S3如何通过签名URL来完成访问控制
SinnetCloud的博客
05-23 5646
S3通过签名来完成对像的访问控制 S3(Amazon Simple Storage Service)是一种对象存储服务,提供可扩展性、数据可用性、安全性和性能。S3 可达到 99.999999999%(11 个 9)的持久性。客户使用 S3 作为云原生应用程序的主要存储;作为分析的批量存储库或“数据湖”;作为备份和恢复以及灾难恢复的目标;并将其与无服务器计算配合使用。 现在越来越多的客户使用S3作...
S3 防盗链/跨域访问
neo949332116的博客
11-20 892
跨域资源共享 CORS 详解http://www.ruanyifeng.com/blog/2016/04/cors.html origin 对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段。 GET /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com Accep...
aws s3仅允许cloudfront访问_S3 作为 AWS CloudFront 源真的安全吗?
weixin_39715187的博客
12-01 813
S3 作为 AWS CloudFront 源真的安全吗?可以从哪几方面着手提高数据的安全性?这就需要咱们用点子智慧~身为伊克罗德的解决方案架构师专业团队一员,编号007,今天在这里和大家分享我的经验。通常在我初次配置CloudFront时,会需要配置以下几个步骤:步骤一:将内容上传到 Amazon S3,然后授予对象权限,必须允许公开读取存储桶和文件,文件必须授予公共读取访问权限。步骤二...
前端实现 AWS s3 (亚马逊)云储存 上传文件/照片/视频 代码实现
weixin_55042716的博客
12-17 5875
公司有项目需要将原先服务器上的图片转移到AWSS3 储存桶中 ,前端的上传图片也需要重新编写, const AWS = require('aws-sdk'); var albumBucketName = "aircom"; var bucketRegion = "us-east-1"; // 实例化aws对象 var s3 = new AWS.S3({ accessKeyId: "AKIA6GPXMC3MGNZCFRMB", secretAccessKey: "sQrIvBdN
使用curl命令发送s3协议请求(shell)
vankalsin的博客
07-29 2281
现有需求,,需要使用shell的curl命令发送s3请求进行测试,s3命令包括CreateBucket, PutObject, GetObject, ListObjects, 以及分段上传请求CreateMultiPartUpload, UploadPart, CompleteMultiPartUpload。验证算法使用V2。
AWSS3文件上传(简单文件上传)
热门推荐
fxtxz2的专栏
02-26 1万+
问题 使用S3 V2的SDK来进行简单文件上传(2021年2月24日,现在AWS的SDK版本也是两个版本,一个V1,一个V2,这里使用V2)。S3文件上传有两种方式: 单一文件上传 文件分块上传:就是开一个上传任务,然后把单个文件拆成几块并发上传。 思路 准备上传客户端:S3Client 构建上传请求:PutObjectRequest 使用S3Client进行单文件上传 解决 S3Client 授权环境变量 在构建S3客户端之前,需要对客户端进行授权,AWS授权方式很多,这里采用环境变量的方式进行
aws s3上传文件 php
最新发布
weixin_44565776的博客
01-05 1044
php aws s3上传文件的亚马逊资源服务器
AWS S3:云存储巨头,驱动大数据时代的高效存储解决方案
S3不仅适合存储静态网站内容,并能与AWS的其他服务无缝集成,如CloudFront内容分发网络,使得内容加载更快。此外,S3还支持静态网站托管,为用户提供便捷的网站部署解决方案。对于需要长期归档和备份的场景,Amazon ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值