在getSignedUrl到期后,AWS S3正常处理403

时间:2015-10-13 16:27:12

标签: amazon-web-services amazon-s3 http-status-code-403 pre-signed-url

我在尝试通过过期的URL访问S3资源时优雅地处理403。目前它返回一个amz xml错误页面。我上传了403.html资源,并认为我可以重定向到该资源。

存储区资源是我的应用保存/提取的资产。仍然,阅读文档我设置存储桶属性以将存储桶作为静态网页页面处理,并将403.html上传到存储桶根目录。除了对资源403.html的公共GET访问权限外,所有公共权限都被阻止。在存储桶属性,网站设置中,我将403.html指示为错误页面。访问http://<bucket>.s3-website-us-east-1.amazonaws.com/some-asset.html正确地重定向到http://<bucket>.s3-website-us-east-1.amazonaws.com/403.html

但是,当我使用aws-sdk js / node并调用方法getSignedUrl('getObject', params)来生成签名的URL时,它会返回不同的主机URL:https://<bucket>.s3.amazonaws.com/从此方法访问过期的资源不会被重定向到403.html。我猜测,由于主机地址不同,这就是它不会自动重定向的原因。

我还为条件

设置了静态网站路由规则 
<Condition>
  <HttpErrorCodeReturnedEquals>403</HttpErrorCodeReturnedEquals>
</Condition>
<Redirect>
  <ReplaceKeyWith>403.html</ReplaceKeyWith>
</Redirect>

仍然没有重定向已签名的网址。所以我不知道如何优雅地处理这些过期的网址。任何帮助将不胜感激。

1 个答案:

答案 0 :(得分:9)

S3存储桶有2个面向公众的接口,REST和网站。这就是两个主机名之间的差异,以及您所看到的行为差异。

他们有两个不同的功能集。

feature          REST Endpoint       Website Endpoint
---------------- ------------------- -------------------
Access control   yes                 no, public content only
Error messages   XML                 HTML
Redirection      no                  yes, bucket, rule, and object-level
Request types    all supported       GET and HEAD only
Root of bucket   lists keys          returns index document
SSL              yes                 no

来源:http://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteEndpoints.html

因此,从表中可以看出,REST端点支持签名URL,但不支持友好错误,而网站端点支持友好错误,但不支持签名URL。这两者不能混合和匹配,因此S3本身不支持您尝试做的事情。

我通过在EC2实例上将所有桶请求通过HAProxy传递到存储桶的REST端点来解决此限制。

当返回403错误消息时,代理使用新的embedded Lua interpreter修改响应正文XML,并在<Error>标记之前添加此消息。

<?xml-stylesheet type="text/xsl" href="/error.xsl"?>\n

文件/error.xsl是公开可读的,并使用浏览器端XSLT呈现非常错误的响应。

代理还会在xml <ProxyTime><ProxyHTTPCode>中注入一些其他标记,以便在输出中使用。生成的XML如下所示:

<?xml version="1.0" encoding="UTF-8"?>
<?xml-stylesheet type="text/xsl" href="/error.xsl"?>
<Error><ProxyTime>2015-10-13T17:36:01Z</ProxyTime><ProxyHTTPCode>403</ProxyHTTPCode><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>9D3E05D20C1BD6AC</RequestId><HostId>WvdkvIRIDMjfa/1Oi3DGVOTR0hABCDEFGHIJKLMNOPQRSTUVWXYZ+B8thZahg7W/I/ExAmPlEAQ=</HostId></Error>

然后我通过XSL测试改变显示给用户的输出,以确定S3抛出的错误条件:

<xsl:if test="//Code = 'AccessDenied'">
  <p>It seems we may have provided you with a link to a resource to which you do not have access, or a resource which does not exist, or that our internal security mechanisms were unable to reach consensus on your authorization to view it.</p>
</xsl:if>

最终结果如下:

browser screenshot example of this behavior

以上是一般的“拒绝访问”,因为没有提供凭据。这是一个过期签名的例子。

screenshot of expired signature

我没有在输出中包含HostId,因为它很丑陋而且,如果我需要它,代理会捕获并记录它,我可以交叉引用请求-ID。

作为奖励,当然,通过我的代理运行请求意味着我可以在提供存储桶内容时使用我自己的域名我自己的SSL证书,并且我有实时访问日志毫不拖延当代理与存储区位于同一区域时,额外的数据传输步骤不会产生额外费用,我对此设置非常满意。

相关问题
最新问题