c# - 如何使用签名版本 4 生成 AWS S3 预签名 URL-6ren

c# - 如何使用签名版本 4 生成 AWS S3 预签名 URL

转载作者：行者123 更新时间：2023-11-30 22:56:33

27

4

我正在使用 AWSSDK.S3 (3.3.31.11) 在 C# .NET Core 2.0 API Controller 类中生成预签名 URL。生成的 URL 旨在供客户端 Angular 应用程序用于将文件上传到使用 SSE-KMS 加密的 S3 存储桶。尽管 S3Client 报告 SignatureMethod 为“HmacSHA256”且 SignatureVersion 为“4”，但当我尝试使用预签名 URL 上传文件时，我收到一条错误消息，指示“使用 AWS KMS 托管 key 指定服务器端加密的请求需要 AWS 签名第 4 版。”

S3Client 作为 Controller 类的依赖项被注入(inject)。对象的实例化由 .NET Core DI 框架使用 config.json 文件中的配置设置进行管理:

{
    ...
    "AWS": {
        "Profile": "default",
        "Region": "us-east-1"
    }
    ...
}

我正在使用 curl 测试预签名 URL:

curl -H "Content-Type: application/pdf" -H "x-amz-server-side-encryption: aws:kms" -H "x-amz-server-side-encryption-aws-kms-key-id: {kms-key-id}" -k -T "filename.pdf" "https://mybucketname.s3.amazonaws.com/filename.pdf?AWSAccessKeyId={keyid}&Expires={expires}&x-amz-security-token={token}&Signature={signature}"

我发现，如果我不包含“Content-Type” header ，我会收到“SignatureDoesNotMatch”错误代码，而不是“InvalidArgument”错误。

这个过程以前在为 S3 存储桶使用默认 AES-256 加密时一直有效，只是在转换为 SSE-KMS 时我遇到了这个问题。

// Controller Class
private readonly IAmazonS3 _s3Client;

public MyController(IAmazonS3 s3Client)
{
    _s3Client = s3Client;
}

[HttpPost]
public async Task<IActionResult> GetPreSignedUrl([FromBody] FileInfoDto fileInfo)
{
    ...
    GetPreSignedUrlRequest request = new GetPreSignedUrlRequest
    {
        BucketName = bucketName, 
        Key = fileInfo.name, 
        Verb = HttpVerb.PUT,
        ContentType = fileInfo.contentType, 
        Expires = DateTime.Now.AddMinutes(5),
        ServerSideEncryptionKeyManagementServiceKeyId = keyId, 
        ServerSideEncryptionMethod = ServerSideEncryptionMethod.AWSKMS
    };

    try
    {
        url = _s3Client.GetPreSignedURL(request);
    }
    ...
}

// Startup Class
public void ConfigureServices(IServiceCollection services)
{
    ...
    services.AddDefaultAWSOptions(_config.GetAWSOptions());
    services.AddAWSService<IAmazonS3>();
    ...
}

使用 curl 和 Controller 方法生成的预签名 URL 上传文件时，我收到“InvalidArgument”响应错误代码和消息“使用 AWS KMS 托管 key 指定服务器端加密的请求需要 AWS 签名第 4 版。”但是，S3Client 报告 SignatureVersion 为“4”。

为了使用签名版本 4 生成预签名 URL，我应该做些什么不同的事情？

最佳答案

尽管 s3Client 将签名版本报告为“4”，但添加到 ConfigureServices 方法的以下行解决了该问题并导致生成符合签名版本 4 的预签名 URL:

AWSConfigsS3.UseSignatureVersion4 = true;

生成的预签名URL如下:

https://mybucketname.s3.amazonaws.com/filename.pdf?X-Amz-Expires=1800&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential={credential}/20190127/us-east-1/s3/aws4_request&X-Amz-Date={date}&X-Amz-SignedHeaders=content-type;host;x-amz-server-side-encryption&X-Amz-Signature={signature}

关于c# - 如何使用签名版本 4 生成 AWS S3 预签名 URL，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/54369427/

27

4

0

文章推荐： c# - 如何从另一个类访问具有 protected 构造函数的类

文章推荐： c# - Atata:无法找到 CheckBox 元素

文章推荐： c# - 实体 ForEach [JsonIgnore]

文章推荐： c# - 如何确定两个圆圈是否重叠或接触？

aws-sdk - AWS SDK 与 AWS CLI - AWS 云形成 - Terraform
对于在 AWS 云中配置基础设施，我们目前使用从 ansible 角色调用的云形成模板，但我们发现在增加基础设施的规模后，此代码在 GitHub 中变得非结构化或未模块化 Github上有意大利面条式
aws-cloudformation - AWS Cloudformation 创建 AWS Cloudwatch 事件以触发 AWS Batch
我一直在阅读documentation for AWS Cloudwatch events至trigger AWS Batch我不知道如何从 cloudwatch 事件触发 aws 批处理: 在 aw
AWS EKS aws-load-balancer-controller(AWS EKS AWS-负载平衡器控制器)
我正在尝试使用入口控制器安装我的CA证书。我正在遵循这份指南。Https://docs.aws.amazon.com/eks/latest/userguide/aws-load-balancer-co
aws-cloudformation - 如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表？
如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表？在我的设置中，我有一个使用 lambda 实现各种微服务的无服务器应用程序。数据库是无
typescript - aws-cdk-lib vs @aws-cdk/core, @aws-cdk/aws-iam, ... 的目的是什么？
我看到了各种使用 AWS CDK 的示例，其中一些使用 aws-cdk-lib，另一些使用 @aws-cdk/core。这些之间有什么区别，什么时候应该使用一个或另一个？最佳答案 aws-cdk-l
typescript - aws-cdk-lib vs @aws-cdk/core, @aws-cdk/aws-iam, ... 的目的是什么？
我看到了各种使用 AWS CDK 的示例，其中一些使用 aws-cdk-lib，另一些使用 @aws-cdk/core。这些之间有什么区别，什么时候应该使用一个或另一个？最佳答案 aws-cdk-l
aws-lambda - AWS Lambda 是否支持 aws-sdk v3？
我在 cdk 研讨会上建立了一个小的 lambda 函数 here .我正在用 typescript 编写 lambda 函数，通过管道进行部署，该管道创建了一个包含 lambda 函数的云形成堆栈。
aws-lambda - 如何在 AWS lambda 中使用 AWS KMS
我刚刚开始使用 AWS 服务，尤其是 AWS Lambda。有没有办法从 Lambda 代码 (Java) 中使用 AWS KMS 服务。我想使用 KMS 来解密加密的外化(从属性读取) secret
aws-cloudformation - AWS CloudFormation - AWS::ElasticLoadBalancingV2::LoadBalancer - 安全组
CFN 模板是否可以根据参数向 ALB 添加一些特定的安全组？我遇到了两个安全组添加到 ALB 的情况: ALB Type: AWS::ElasticLoadBalancingV2::LoadB
security - 一个 AWS 账户上的 AWS 安全组可以引用另一个 AWS 账户上的安全组吗？
例如，我有一个主要公司 AWS 账户，其安全组为 xxxxx。现在我有了我的个人 aws 安全组-yyyyy。这些帐户根本不相关。我可以将接受组-yyyyy 添加到组-xxxxx 中，从而允许我的
aws-lambda - AWS Lambda 的 AWS MSK 触发器 - 同一执行上下文中的多个主题
我有一个 Lambda 函数，它有多个 MSK 触发器配置 - 每个都针对不同的主题。如果 Lambda 的输入 ( MSKEvent ) 可以包含多个不同的主题，则未在官方文档中找到任何信息。官
aws-glue - 来自 AWS secret 管理器的 AWS Glue 连接
在 AWS Glue 中创建 JDBC 连接时，有什么方法可以从 AWS secret manager 获取密码而不是手动硬编码吗？最佳答案我必须在我当前的项目中这样做才能连接到 Cassandr
aws-appsync - : aws-sdk/clients/appsync and aws-appsync?有什么区别
谁能告诉我: aws-sdk/clients/appsync , 和 aws-appsync 根据文档，aws-sdk/clients/appsync使用是因为只包括 aws-sdk当我们只需要 ap
aws-amplify - 如何将现有的 AWS Amplify 后端导入本地的空 AWS Amplify 项目？
我不小心删除了我的放大前端并创建了一个新前端。如何将现有的放大后端导入新创建的放大应用项目文件夹？我按照后端标签上的步骤操作 amplify init --appId(“您的新AMPLIFY APP
aws-glue - 如何使用 AWS java SDK 使用 AWS 胶水作业自动生成脚本
我正在使用 Java Sdk 创建粘合作业。它只有两个必需的参数 Command 和 Glue 版本。但我需要使用自动脚本生成来创建工作。正如我们可以从控制台做的那样，我们添加数据源、AWS Glu
aws-lambda - 有没有办法在 AWS Glue 作业结束时触发 AWS Lambda 函数？
目前我正在使用 AWS Glue 作业将数据加载到 RedShift，但在加载之后我需要运行一些可能使用 AWS Lambda 函数的数据清理任务。有没有办法在 Glue 作业结束时触发 Lambda
aws-lambda - AWS lambda 和 AWS Lambda@EDGE 之间有什么区别？
简单的 aws lambda 和 aws lambda@edge 有什么区别？最佳答案 Lambda 根据某些触发器执行函数。 Lambda 的用例非常广泛，并且与许多 AWS 服务高度集成。您甚至
ruby-on-rails - AWS OpsWorks、AWS Beanstalk 与 AWS CloudFormation？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 个月前。社区 9
aws-cdk - 无法使用 python 使用 AWS-CDK 创建 AWS 管理的事件目录
我正在尝试使用 Python 使用 AWS-CDK 创建托管广告。以下是错误，从 JavaScriptError(resp.stack) 引发 JSIIError(resp.error)jsii.er
javascript - @aws-cdk/pipelines 和 @aws-cdk/aws-codepipeline 有什么区别？
这两个包似乎在很大程度上做同样的事情？这两个包之间的预期区别是什么，我应该使用哪个包？最佳答案 Pipelines 是较新的 --experimental-- (编辑:它不再在 Experiment

首页

博学

6Ren·AI

商城

c# - 如何使用签名版本 4 生成 AWS S3 预签名 URL