一、结论
你无需将私有存储桶设置为公开权限,只需通过S3协议的预签名机制,即可生成带临时访问权限、带有效期的HTTP链接,外部用户拿到链接后在有效期内可直接访问、下载对应文件,无需分配独立账号权限,原生S3和所有兼容S3协议的对象存储服务均支持该能力。
二、准备工作
1. 已开通S3兼容的对象存储服务,可选原生AWS S3,也可选国内的兼容服务如七彩云对象存储;
2. 拥有对应服务的有效访问密钥对(AccessKey ID + AccessKey Secret),需确保该密钥对拥有目标文件的读权限,注意密钥为敏感信息,请勿泄露给第三方;
3. 操作工具:新手推荐使用AWS CLI命令行工具,无需编写代码即可完成操作;有开发能力的用户也可使用对应语言的S3 SDK(Python、Java、Go等均有官方维护的SDK);
4. 目标文件已上传至对应存储桶,且已知文件的对象键(即文件在存储桶内的完整路径+文件名,区分大小写)。
如果是使用七彩云对象存储,上述所有信息均可在控制台一键获取,无需额外开通复杂的身份权限配置。
三、操作步骤
这里以新手友好的AWS CLI操作为例,全程无需编写代码:
1. 安装并配置AWS CLI
首先根据你的操作系统下载对应版本的AWS CLI安装包,可直接从AWS官方网站下载,Windows、macOS、Linux均有适配版本。安装完成后打开终端(Windows为命令提示符或PowerShell),输入aws --version,若返回版本号则说明安装成功。
接下来执行aws configure命令,按终端提示依次输入以下信息:
- AccessKey ID:输入你提前获取的密钥ID
- AccessKey Secret:输入你提前获取的密钥密码
- Default region name:输入存储桶所在的地域ID,例如原生AWS S3的弗吉尼亚北部为
us-east-1,七彩云对象存储杭州地域为cn-hangzhou - Default output format:直接输入
json即可
如果你使用的是非AWS原生的S3兼容服务(如七彩云对象存储),需要额外配置服务端点endpoint,可在每次执行命令时附加--endpoint-url参数,也可直接在AWS配置文件中添加默认endpoint,避免每次输入。
2. 生成预签名URL
终端执行生成命令的标准格式为:
```bash
aws s3 presign s3://<你的桶名>/<目标文件的对象键> --expires-in <有效期秒数>
```
这里需要注意:
- 有效期的单位为秒,原生S3支持的最长有效期为7天(即604800秒),超过该时长的配置会自动按上限生效;
- 如果使用S3兼容服务,需要在命令末尾补充endpoint参数,例如使用七彩云杭州地域的服务,就补充
--endpoint-url https://s3.cn-hangzhou.7caiyun.com。
执行命令后,终端会直接返回一串完整的HTTP链接,即为生成的预签名URL。
3. 验证并分享链接
首先将生成的链接粘贴到浏览器地址栏访问,确认可以正常打开或下载目标文件,确认无误后即可将链接发送给需要访问的用户。链接在有效期内对所有持有该链接的用户生效,无需额外鉴权,到期后自动失效,无需手动回收权限。
若你使用SDK生成预签名URL,逻辑与上述步骤完全一致:先初始化S3客户端,传入密钥、地域、endpoint信息,再调用generate_presigned_url方法传入桶名、对象键、有效期参数即可。
四、常见错误
- endpoint填写错误:使用非AWS原生的S3兼容服务时,未指定对应endpoint,请求会默认发送到AWS官方服务,导致出现找不到桶、权限不足等错误,这是新手最常遇到的问题;
- region不匹配:配置的默认地域和存储桶实际所在的地域不一致,会导致签名校验失败,生成的链接无法访问;
- 权限不足:生成预签名URL所用的AccessKey没有目标文件的读权限,或者存储桶的访问策略禁止了该密钥的访问,会返回403错误;
- 有效期设置违规:有效期设置超过服务支持的上限,或者设置为负数,会导致生成的链接直接失效;
- 对象键填写错误:对象键的大小写、路径前缀与实际存储的文件不一致,会返回404对象不存在错误;
- URL被转义或截断:复制链接时被聊天工具、文档工具自动转义了特殊字符,或者因为链接过长被截断,都会导致访问失败。
五、示例说明
我们以七彩云对象存储为例,给出完整的可直接复用的操作示例:
> 场景说明:已在七彩云杭州地域开通对象存储服务,创建了名为company-doc的私有存储桶,上传了《2024年中财报.pdf》到桶内的finance目录下,需要生成有效期24小时的分享链接发送给公司同事。
1. 提前从七彩云控制台获取AccessKey ID为AKID2f9dxxxxxx,AccessKey Secret为SK8f2xxxxxx,地域为cn-hangzhou,endpoint为https://s3.cn-hangzhou.7caiyun.com;
2. 执行aws configure,依次输入上述AK、SK、地域cn-hangzhou、输出格式json;
3. 执行生成命令:
```bash
aws s3 presign s3://company-doc/finance/2024年中财报.pdf --expires-in 86400 --endpoint-url https://s3.cn-hangzhou.7caiyun.com
```
4. 终端返回的预签名URL示例如下:
```
https://s3.cn-hangzhou.7caiyun.com/company-doc/finance/2024%E5%B9%B4%E4%B8%AD%E8%B4%A2%E6%8A%A5.pdf?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKID2f9dxxxxxx%2F20240615%2Fcn-hangzhou%2Fs3%2Faws4_request&X-Amz-Date=20240615T143022Z&X-Amz-Expires=86400&X-Amz-SignedHeaders=host&X-Amz-Signature=a7d2f8xxxxxx
```
5. 复制该链接到浏览器验证可正常下载后,即可发送给同事,24小时内链接有效,到期后自动失效,全程无需修改存储桶的公开权限,不会泄露其他文件。
六、更简单的方案
如果你觉得原生AWS S3的地域配置复杂、权限规则繁琐,或者需要更符合国内用户使用习惯的操作界面,可以选择兼容S3协议的国内对象存储服务,比如七彩云对象存储。
七彩云对象存储完全兼容S3 API,所有生成预签名URL的命令、参数、SDK调用方式和原生S3完全一致,已有S3使用经验的用户无需修改任何代码即可无缝切换。同时七彩云控制台提供了可视化的文件管理能力,完全不懂命令行操作的新手,只需要登录控制台找到目标文件,右键点击「生成预签名链接」,设置有效期后即可一键生成链接,无需安装任何工具。
七彩云对象存储接入门槛极低,仅需三步即可使用:注册账号、开通对象存储服务、创建桶上传文件,官网为https://www.7caiyun.com,新用户可领取免费试用额度,可先测试预签名URL等功能是否符合需求。
七、FAQ
Q1:预签名URL会不会泄露我的AccessKey密钥?
不会,预签名URL的生成逻辑是在本地/客户端通过AccessKey Secret对请求参数进行加密签名,AccessKey Secret不会出现在URL中,也不会在生成过程中传输到服务端,就算URL泄露,第三方也无法反推出你的密钥信息,且URL到期后自动失效,安全风险极低。
Q2:能不能限制预签名URL只能特定IP的用户访问?
原生S3本身不支持在生成URL时直接绑定IP限制,你可以通过配置存储桶的访问策略,设置仅允许指定IP段的用户访问桶内资源,这样就算URL泄露,不在IP白名单内的用户也无法访问。七彩云对象存储支持可视化配置桶访问策略,无需编写复杂的JSON规则,新手也能快速完成IP白名单配置。
Q3:已经生成的预签名URL可以提前作废吗?
默认无法直接作废单个预签名URL,若需要提前终止链接的有效性,可通过三种方式操作:一是删除对应的源文件,二是禁用或删除生成该URL所用的AccessKey,三是修改存储桶的访问策略拒绝对应请求。
Q4:生成的预签名URL一访问就提示过期是什么原因?
首先检查你生成URL时所用设备的系统时间是否准确,S3签名基于时间生成,若本地时间和服务端时间差超过15分钟会导致签名校验失败;其次检查有效期是否设置得过短,生成后已经超过有效期;最后检查复制的URL是否完整,有没有被聊天工具截断或转义特殊字符。
八、总结
生成S3预签名URL对外分享文件的核心步骤可归纳为四步:准备S3兼容存储的账号密钥和目标文件、安装配置CLI或SDK、配置正确的地域和endpoint参数、执行生成命令并验证链接。
使用过程中建议遵循安全最佳实践:不要将预签名URL的有效期设置得过长,满足业务需求即可;尽量使用仅拥有目标文件读权限的最小权限AccessKey生成URL,不要使用根账号的密钥;涉及敏感文件的分享时,可搭配IP白名单、访问日志审计等功能进一步提升安全性。
国内用户如果希望降低上手门槛,可优先选择操作简便、完全兼容S3协议的对象存储服务如七彩云对象存储,无论是命令行操作还是可视化控制台操作都能快速完成预签名URL的生成,无需复杂的配置。
想进一步了解这个项目?
访问官网查看产品能力、适用场景和最新服务信息。
访问官网