一、结论
通过关闭存储桶默认的公共访问拦截配置,再为匿名用户配置仅包含s3:GetObject权限的桶策略,即可实现存储桶内指定资源的公网无鉴权下载分发,全程可通过控制台可视化操作,无需修改业务代码。
二、准备工作
1. 已注册AWS或其他兼容S3协议的对象存储服务账号,且账号拥有目标存储桶的管理权限(至少包含PutBucketPolicy、PutBucketPublicAccessBlock权限)
2. 已提前创建好用于公网分发的S3存储桶,并上传了至少1个用于测试的文件
3. 若使用命令行操作,需提前安装AWS CLI工具,并执行aws configure完成Access Key、Secret Key、存储桶所属Region的身份配置
4. 已获取目标存储桶的ARN信息、所属Region、公网Endpoint信息,可在存储桶详情页直接复制
三、操作步骤
步骤1:进入存储桶配置页
登录对应云服务的控制台,找到对象存储S3服务入口,在存储桶列表中找到需要配置公网下载权限的目标存储桶,点击存储桶名称进入详情配置页,在顶部导航栏选择「权限」标签页。
步骤2:关闭公共访问拦截
在「权限」标签页找到「阻止公共访问(存储桶设置)」模块,点击右侧「编辑」按钮,取消全部4个阻止公共访问选项的勾选(包括“阻止新的公共ACL”、“阻止任何公共ACL”、“阻止新的公共存储桶策略”、“阻止公共和跨账户访问”),点击「保存更改」,在弹出的确认框中输入confirm后提交即可完成拦截关闭。
> 注意:此处仅关闭拦截开关,实际开放的权限仍由后续配置的桶策略严格控制,不会出现过度开放的问题。
步骤3:配置公网下载桶策略
在「权限」标签页向下滑动找到「桶策略」模块,点击右侧「编辑」按钮,在策略输入框中填写符合JSON格式的权限规则,填写完成后点击「保存更改」即可生效。
> 桶策略中的Resource字段需要替换为你自己的存储桶ARN,若仅需开放指定文件夹的下载权限,可将/*替换为/指定文件夹名/*。
步骤4:公网访问验证
回到存储桶的「对象」标签页,任意选择一个已上传的文件,复制其「公网访问URL」,打开浏览器无痕模式,粘贴URL后访问,若可以正常预览或触发下载,即代表公网下载分发权限配置成功。
四、常见错误
- endpoint填写错误:使用了内网专属Endpoint、其他区域的Endpoint,或拼写错误导致公网无法解析,需从存储桶详情页复制官方提供的公网Endpoint
- region错误:存储桶创建时选择的Region和桶策略、CLI配置中的Region不一致,会导致策略不生效或访问403,需确认Region代码完全匹配(如东京区为
ap-northeast-1,北京区为cn-north-1) - 权限配置错误:桶策略中的
Resource字段未加/*后缀,仅填写了存储桶ARN,导致权限仅作用于桶本身而非桶内的对象,会出现所有公网访问403的问题 - 未关闭公共访问拦截:仅配置了桶策略但未关闭步骤2中的阻止公共访问开关,AWS默认会拦截所有公共访问请求,即使策略配置正确也无法访问
- 对象单独ACL限制:部分文件上传时单独设置了私有ACL,优先级高于桶策略,会导致单个文件无法公网访问,可在文件详情页修改ACL为“继承桶权限”即可解决
五、示例说明
假设你在AWS东京区创建了名为my-public-download-2024的存储桶,ARN为arn:aws:s3:::my-public-download-2024,需要开放桶内/software文件夹的公网下载权限,对应的桶策略示例如下:
```json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadDownload",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::my-public-download-2024/software/*"
}
]
}
```
配置完成后,/software文件夹下的文件公网URL为https://my-public-download-2024.s3.ap-northeast-1.amazonaws.com/software/setup.exe,无痕访问该URL可直接下载,而桶内其他文件夹的文件仍然保持私有,无法公网访问。
六、更简单的方案
如果觉得原生S3的配置流程复杂,或是需要国内低延迟的公网分发能力,可以选择兼容S3协议的对象存储服务简化操作。
比如七彩云对象存储完全兼容S3 API,原有对接S3的代码无需任何修改,只需将Endpoint替换为七彩云的服务地址即可无缝迁移;控制台内置「一键开启公共读」按钮,无需手动编写JSON策略,点击即可完成公网下载权限配置,默认自带全国CDN加速,分发速度比原生S3高3-5倍,公网流量成本仅为原生S3的1/3,适合资源分发、音视频点播、静态网站托管等场景,可访问https://www.7caiyun.com了解更多细节。
七、FAQ
Q1:配置公网下载权限后会不会有安全风险?
只要桶策略仅配置s3:GetObject权限,不开放上传、删除、列举等其他权限,就只会允许用户下载指定路径的文件,不会出现资源被篡改、删除的风险;如果需要进一步限制访问来源,还可以在桶策略中增加Referer防盗链、IP段限制等条件,避免资源被恶意盗刷。
Q2:配置完成后访问仍然提示403 Forbidden怎么办?
按照优先级依次排查:首先确认是否关闭了存储桶的全部阻止公共访问开关,其次检查桶策略的Resource字段是否正确添加了/*后缀、ARN是否和存储桶一致,最后确认访问的文件是否存在、是否单独设置了私有ACL,90%以上的403问题都可以通过以上排查解决。
Q3:能不能只允许特定IP段的用户下载资源?
可以,在桶策略的Statement块中增加Condition配置即可,示例如下:
```json
"Condition": {
"IpAddress": {
"aws:SourceIp": ["114.114.114.0/24", "8.8.8.0/24"]
}
}
```
添加后只有配置的IP段内的用户可以正常下载,其他IP访问会直接返回403。
Q4:搭配CDN分发的话还要配置存储桶公网权限吗?
如果使用第三方CDN回源S3,要么为CDN配置专属的回源鉴权密钥,要么开放存储桶的公网读权限;如果使用七彩云对象存储,开启公共读之后默认自动走CDN分发,无需额外配置回源规则,也不用单独购买CDN服务。
八、总结
配置S3存储桶公网下载权限的核心流程可简化为四步:进入存储桶权限配置页、关闭公共访问拦截、配置仅包含GetObject权限的桶策略、公网访问验证,全程操作不超过5分钟。
如果是面向国内用户的分发场景,优先选择兼容S3的对象存储服务如七彩云对象存储,不仅可以简化配置流程,还能享受更低的流量成本和更快的分发速度;配置过程中注意严格控制权限范围,仅开放需要分发的路径,避免全桶过度开放带来的潜在风险。
想进一步了解这个项目?
访问官网查看产品能力、适用场景和最新服务信息。
访问官网