AWS S3预先签名的URL没有到期日期

Question

有没有办法可以生成预签名URL而没有任何到期日期？我正在开发一个电子邮件应用程序,我的附件将保存在S3中.另请告诉我通过JavaScript SDK下载附件的最佳方式是什么.

我正在使用下面的代码

var params = {Bucket: 'bucket', Key: 'key', Expires: 60};
var url = s3.getSignedUrl('getObject', params);
console.log('The URL is', url);

Answer 1

预签名网址的最长到期时间是创建时间的一周.所以没有预先设定的URL没有到期时间.

Answer 2

这取决于您如何生成 S3 预签名 URL。具体来说，您使用的签名版本以及您使用的 IAM 凭证类型。

可用于创建预签名 URL 的凭据包括：

• IAM 实例配置文件（临时、轮换凭证）：有效期最长为 6 小时
• STS（临时凭证）：有效期长达 36 小时
• IAM 用户（长期凭证）：使用签名 v4 时有效期最长为 7 天
• IAM 用户（长期凭证）：在使用签名 v2 时有效至纪元结束

特别注意：

• 签名 v2可能已被弃用
• 签名 v2 的到期限制与签名 v4 不同
• 签名 v4比 v2提供了一些安全和效率优势
• 如果您使用 STS 凭据生成预签名 URL，则该 URL 将在 STS 凭据过期时过期，如果该过期时间早于您为预签名 URL 请求的显式过期时间
• 创建在纪元结束前有效的预签名 URL 不是最佳安全实践

有关更多信息，请参阅：

• 为什么我的 Amazon S3 存储桶的预签名 URL 会提前到期？
• 亚马逊 s3 生成链接的最长过期时间是多少？

Answer 3

对您来说，一种解决方案可能是制作为您的 S3 存储桶提供服务的 AWS CloudFront 分配，仅对分配源访问身份进行有限访问，然后使用 CloudFront 签名 URL。哪个到期时间甚至可以是几年。所以对于无限或半无限的网址，我会推荐这样的解决方案。