访问被拒绝 - 使用预签名URL的S3资源 - PHP SDK

时间:2016-11-27 15:14:31

标签: php amazon-web-services amazon-s3 permissions sdk

我正在生成一个预签名URL,允许用户从S3 Bucket下载文件。我使用以下代码通过PHP SDK生成URL:

public static function get_content_link( $bucket, $key ) {

    //check response code from AWS
    require_once 'aws/aws-autoloader.php';

    $s3 = new Aws\S3\S3Client([
        'version' => 'latest',
        'region'  => 'eu-west-1',
        'credentials' => [
            'key'    => 'MY-KEY',
            'secret' => 'MY-SECRET',
        ],
    ]);

    $cmd = $s3->getCommand('GetObject', [
        'Bucket' => $bucket,
        'Key'    => $key
    ]);

    $request = $s3->createPresignedRequest($cmd, '+500 minutes');

    // Get the actual presigned-url
    $presignedUrl = (string) $request->getUri();

    return $presignedUrl;
}

正在按预期返回网址,例如:

https://s3-eu-west-1.amazonaws.com/MY-BUCKET-NAME/product/3166_1480009917388.mov?x-amz-content-sha256=unsigned-payload&x-amz-algorithm=aws4-hmac-sha256&x-amz-credential=akiaiqrmkn276hcpjkaq%2f20161127%2feu-west-1%2fs3%2faws4_request&x-amz-date=20161127t145603z&x-amz-signedheaders=host&x-amz-expires=30000&x-amz-signature=98eaef504f053ca56908ac49c6539c4a8b8e250d7d3a4a12460f4a806ec41c19

当我尝试在浏览器中打开任何返回的链接时,我收到来自S3的拒绝访问错误:

<Error>
  <Code>AccessDenied</Code>
  <Message>Access Denied</Message>
  <RequestId>A37839BB23186F72</RequestId>
  <HostId>
yvKTN+CN1TTNk2tqoxxm3MPOGTUSMaRYtbbEFeCzGP7ou5IYf37Z9uBESwUQWDIUR1GUuPbZyuM=
  </HostId>
</Error>

我想要提供访问权限的文件位于包含允许公共访问的文件夹的存储桶中,我尝试访问的文件夹是私有的(称为/ product /)。我们的存储桶策略如下所示:

{
        "Version": "2008-10-17",
        "Statement": [
            {
                "Sid": "AllowPublicReadProxies",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "*"
                },
                "Action": "s3:GetObject",
                "Resource": "arn:aws:s3:::MY-BUCKET-NAME/proxies*"
            },
            {
                "Sid": "AllowPublicReadThumbs",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "*"
                },
                "Action": "s3:GetObject",
                "Resource": "arn:aws:s3:::MY-BUCKET-NAME/thumbs*"
            }
        ]
    }

据我了解,创建预签名URL的目的是允许未经身份验证的用户临时访问受保护的文件,而无需修改存储桶或文件夹权限。

有没有人对我错过或做错了什么有任何想法?

谢谢!

2 个答案:

答案 0 :(得分:1)

非常感谢@ Michael-sqlbot为我搞清楚这一点。

事实证明,在将预签名URL输出到页面时,我强制将整个URL设置为小写,因此AWS返回了拒绝访问错误,因为资源在技术上并不存在。

答案 1 :(得分:0)

如果遇到此错误,还请确保您没有对预签名的url执行GET请求,而不是POST请求。