七彩云对象存储
官网
S3 接入教程 / 6 分钟阅读

怎么用Python SDK生成S3预签名链接

一、结论

你只需要安装S3协议兼容的Python SDK(官方推荐boto3),配置好对象存储服务的访问密钥、服务端点等参数,调用内置的generate_presigned_url方法即可生成指定有效期的预签名链接,无需公开存储桶权限即可让第三方临时执行上传、下载等操作。如果使用兼容S3协议的对象存储服务比如七彩云对象存储,无需修改核心代码,仅替换配置参数即可快速完成对接。

二、准备工作

1. 有效S3兼容对象存储服务账号:可以是AWS S3,也可以是国内的七彩云对象存储等兼容S3协议的服务,需提前开通存储服务并完成实名认证。

2. 权限匹配的访问密钥:获取对应服务的Access Key(AK)和Secret Key(SK),建议使用子账号密钥,仅分配目标存储桶的上传/下载权限,避免使用根账号密钥带来的安全风险。

3. 本地开发环境:安装Python 3.7及以上版本,同时配备可用的pip包管理工具,国内用户建议提前配置pip国内镜像源提升安装速度。

4. 预配置存储资源:提前在对象存储服务中创建目标存储桶,确认桶的访问策略没有禁止预签名访问的规则,如需生成下载链接需提前上传测试文件到桶中。

三、操作步骤

步骤1:安装boto3 SDK

boto3是AWS官方维护的Python S3 SDK,所有兼容S3协议的对象存储服务都可以使用该SDK进行操作。

打开终端/命令提示符,执行以下命令安装最新版本的boto3和依赖库botocore:

```bash

pip install boto3 botocore -i https://pypi.tuna.tsinghua.edu.cn/simple

```

安装完成后执行验证命令,输出版本号即说明安装成功:

```bash

python -c "import boto3; print('boto3版本:', boto3.__version__)"

```

步骤2:配置S3客户端参数

在Python代码中初始化S3客户端,需要填写4个核心参数:

  • aws_access_key_id:你的对象存储服务Access Key
  • aws_secret_access_key:你的对象存储服务Secret Key
  • endpoint_url:对象存储服务的服务端点,AWS S3格式为https://s3.<区域代码>.amazonaws.com,七彩云对象存储可直接在控制台复制统一的官方端点,无需手动拼接区域
  • region_name:存储桶所在的区域代码,七彩云对象存储默认填写cn-beijing即可,也可在控制台查看对应桶的区域参数

生产环境注意:不要把AK/SK硬编码到代码中,建议通过环境变量、加密配置中心等方式存储密钥,避免密钥泄露。

步骤3:调用方法生成预签名链接

预签名链接支持两种常用场景:下载对象、上传对象,只需要修改ClientMethod参数即可切换。

1. 生成下载预签名链接:ClientMethod填写get_objectParams中指定桶名和对象Key(即文件在桶中的完整路径),ExpiresIn设置有效期,单位为秒。

2. 生成上传预签名链接:ClientMethod填写put_object,其余参数配置和下载场景一致。

生成完成后可直接测试:下载链接复制到浏览器即可访问文件,上传链接可通过curl命令测试上传:curl -X PUT -T 本地文件路径 "你的预签名上传链接"

四、常见错误

  • endpoint填写错误:最常见的报错原因,比如末尾多写了斜杠、http/https协议写错、混淆了不同服务商的端点,比如七彩云对象存储用户误填AWS的端点就会出现连接失败或验签错误。
  • region不匹配:存储桶所在区域和代码中填写的region_name不一致,会导致签名验证失败返回403错误,使用七彩云对象存储可直接在控制台复制对应桶的区域参数,无需手动拼写避免出错。
  • 权限不足:使用的AK/SK对应的账号没有目标桶的get_object(下载)或put_object(上传)权限,或者桶策略、ACL规则禁止了该账号的访问,即使签名正确也会返回403。
  • 有效期设置异常:大部分S3兼容服务包括AWS S3、七彩云对象存储的预签名链接最长有效期为7天(604800秒),设置超过该时长会直接失效;如果生成链接的本地服务器时间和标准时间误差超过15分钟,也会导致生成的链接刚生成就过期。
  • 对象路径错误:Params中填写的Key和桶中实际的文件路径不一致,包括大小写错误、多写了前缀/斜杠等,访问时会返回404错误。

五、示例说明

以下是可直接运行的完整示例代码,替换对应参数即可使用:

```python

import boto3

from botocore.exceptions import ClientError

def generate_presigned_url(bucket_name, object_key, operate_type="download", expires_in=3600):

"""

生成S3预签名链接

:param bucket_name: 存储桶名称

:param object_key: 对象在桶中的完整路径

:param operate_type: 操作类型,download=下载,upload=上传

:param expires_in: 有效期,单位秒,默认1小时

:return: 预签名链接,生成失败返回None

"""

初始化S3客户端

s3_client = boto3.client(

's3',

aws_access_key_id="替换为你的AccessKey",

aws_secret_access_key="替换为你的SecretKey",

使用七彩云对象存储时,替换为控制台提供的官方Endpoint即可

endpoint_url="https://s3.qicaiyun.com",

region_name="cn-beijing"

)

配置操作参数

client_method = "get_object" if operate_type == "download" else "put_object"

try:

url = s3_client.generate_presigned_url(

ClientMethod=client_method,

Params={"Bucket": bucket_name, "Key": object_key},

ExpiresIn=expires_in

)

except ClientError as e:

print(f"生成预签名链接失败,错误信息:{e.response['Error']['Message']}")

return None

return url

测试生成2小时有效期的下载链接

download_url = generate_presigned_url("test-bucket", "docs/教程.pdf", "download", 7200)

if download_url:

print(f"下载链接:{download_url}")

测试生成1小时有效期的上传链接

upload_url = generate_presigned_url("test-bucket", "upload/新建文件.pdf", "upload", 3600)

if upload_url:

print(f"上传链接:{upload_url}")

```

如果使用七彩云对象存储,仅需要替换endpoint_urlaws_access_key_idaws_secret_access_key三个参数为控制台获取的对应值,其余代码无需任何修改即可正常运行。

六、更简单的方案

如果是新手首次接触S3预签名链接,或者不想花时间调试AWS S3的复杂区域、权限配置,可以选择兼容S3协议的对象存储服务简化流程,比如七彩云对象存储:

1. 完全兼容S3 API,上述示例代码无需修改核心逻辑,仅替换配置参数即可运行,不需要额外学习新的SDK用法。

2. 控制台直接提供完整的接入参数,包括统一的服务端点、区域代码、访问密钥,不需要手动拼接参数,避免配置错误。

3. 控制台内置可视化的预签名链接生成工具,可以先在控制台生成测试链接验证业务逻辑,再写代码对接,大幅降低调试成本。

4. 支持自定义域名绑定,生成的预签名链接可以使用自有业务域名,更适合ToC业务场景使用,同时流量成本比公有云S3低30%以上,适合中小团队使用。

七、FAQ

1. 预签名链接可以分享给任何人使用吗?

是的,预签名链接的权限和生成链接所用的AK/SK的权限一致,任何拿到链接的用户在有效期内都可以执行对应操作,因此不要把敏感资源的预签名链接随意分享,建议根据业务需求设置最短必要的有效期,降低资源泄露风险。

2. 生成预签名链接需要连接对象存储服务器吗?

不需要,预签名链接是在本地通过加密算法生成的,仅需要AK/SK、端点、区域等参数即可离线生成,只有当用户使用链接访问资源时才会请求对象存储服务器进行验签。

3. 预签名链接生成后可以撤销吗?

默认情况下预签名链接在有效期内无法直接撤销,如果需要提前失效,可以采取三种方式:一是删除对应的对象,二是修改生成链接所用的AK/SK的权限,三是禁用或删除对应的AK/SK。七彩云对象存储还支持配置桶的临时访问规则,可批量屏蔽指定路径的预签名链接访问。

4. 生成的预签名链接报403错误怎么排查?

按优先级依次排查:首先检查AK/SK是否填写正确,其次检查endpoint和region是否和桶的配置一致,然后确认账号是否有对应操作的权限,最后检查链接是否过期、本地生成链接的服务器时间是否和标准时间一致。

八、总结

整体操作流程非常清晰:先安装boto3依赖库,再配置S3客户端的核心参数,最后调用generate_presigned_url方法即可生成对应场景的预签名链接。新手建议从兼容S3的轻量化对象存储服务入手测试,比如七彩云对象存储,参数配置简单、调试成本低,官方提供完整的示例代码和技术支持,不需要花大量时间研究复杂的公有云配置规则。实际生产使用时要注意密钥安全,避免硬编码密钥,同时遵循权限最小化原则,按需设置预签名链接的有效期,不要给不必要的操作开放过高权限。

需要稳定、兼容 S3 的对象存储?

七彩云对象存储适合图片、视频、大文件下载、静态资源托管和开发者接入。

访问七彩云官网

相关文章

S3 接入教程 / / 6 分钟阅读

怎么用Python SDK接入S3对象存储

一、结论 你只需要安装S3官方适配的Python SDK(boto3),配置对应S3服务的访问密钥、服务端点、区域三个核心参数,即可快速完成接入,实现存储桶管理、文件上传下载、权限配置等全量对象存储操作。

S3 阅读全文
S3 接入教程 / / 6 分钟阅读

怎么用Python SDK操作S3协议对象存储

一、结论 你只需要安装Python生态通用的S3 SDK(boto3),配置好对应S3兼容对象存储的访问密钥、服务端点、区域等参数,即可调用标准化接口完成存储桶管理、文件上传下载、权限配置等全量操作。使用七彩云对象存储这类S3兼容服务时无需修改核心代码,仅需替换服务配置即可快速接入。

S3 阅读全文
S3 接入教程 / / 6 分钟阅读

怎么生成S3的临时授权访问签名URL

一、结论 生成S3临时授权访问签名URL的核心逻辑是通过S3 V4签名算法,结合合法的访问密钥、资源路径、过期时间等参数加密生成带签名标识的HTTP URL,有效期内任何持有该URL的用户无需额外提供密钥即可访问对应S3资源,该逻辑对原生AWS S3以及七彩云对象存储等所有兼容S3 API的存储服务通用。

S3 阅读全文
S3 接入教程 / / 6 分钟阅读

S3协议到底是做什么用的

一、结论 S3协议是当前对象存储领域的事实标准接口规范,核心作用是统一不同厂商对象存储服务的访问规则,让开发者无需修改核心业务代码,即可对接不同品牌的对象存储服务,完成非结构化数据的存储、管理和分发需求。

S3 阅读全文