amazon-web-services - AWS S3 在 getSignedUrl 过期后优雅地处理 403

Question

通过过期的 URL 访问 S3 资源时，我试图优雅地处理 403。目前它返回一个 amz xml 错误页面。我上传了一个 403.html 资源，并认为我可以重定向到该资源。

存储桶资源是我的应用程序保存/获取的 Assets 。尽管如此，阅读文档我设置存储桶属性以将存储桶作为静态网页页面处理，并将 403.html 上传到存储桶根目录。除对资源 403.html 的公共(public) GET 访问外，所有公共(public)权限均被阻止。在存储桶属性、网站设置中，我将 403.html 指示为错误页面。来访http://<bucket>.s3-website-us-east-1.amazonaws.com/some-asset.html正确重定向到 http://<bucket>.s3-website-us-east-1.amazonaws.com/403.html
但是，当我使用 aws-sdk js/node 并调用方法 getSignedUrl('getObject', params)要生成签名的 url，它会返回一个不同的主机 url:https://<bucket>.s3.amazonaws.com/从此方法访问过期资源不会重定向到 403.html。我猜由于主机地址不同，这就是它不会自动重定向的原因。

我还为条件设置了静态网站路由规则

<Condition>
  <HttpErrorCodeReturnedEquals>403</HttpErrorCodeReturnedEquals>
</Condition>
<Redirect>
  <ReplaceKeyWith>403.html</ReplaceKeyWith>
</Redirect>

仍然没有重定向签名的网址。所以我不知道如何优雅地处理这些过期的网址。任何帮助将不胜感激。

Answer 1

S3 存储桶有 2 个面向公众的接口(interface)，REST 和网站。这就是两个主机名之间的差异，以及您所看到的行为差异。

它们有两个不同的功能集。

feature          REST Endpoint       Website Endpoint
---------------- ------------------- -------------------
Access control   yes                 no, public content only
Error messages   XML                 HTML
Redirection      no                  yes, bucket, rule, and object-level
Request types    all supported       GET and HEAD only
Root of bucket   lists keys          returns index document
SSL              yes                 no

来源: http://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteEndpoints.html

因此，从表中可以看出，REST 端点支持签名 URL，但不支持友好错误，而网站端点支持友好错误，但不支持签名 URL。两者不能混合和匹配，因此您尝试做的事情并不是 S3 本身支持的。

我通过在 EC2 实例上通过 HAProxy 将存储桶的所有请求传递到存储桶的 REST 端点，解决了这个限制。

当返回 403 错误消息时，代理使用新的 embedded Lua interpreter 修改响应正文 XML , 在 <Error> 之前添加标签。

<?xml-stylesheet type="text/xsl" href="/error.xsl"?>\n

文件 /error.xsl是公开可读的，并使用浏览器端 XSLT 呈现漂亮的错误响应。

代理还会在 xml 中注入(inject)几个额外的标签， <ProxyTime>和 <ProxyHTTPCode>用于输出。生成的 XML 如下所示:

<?xml version="1.0" encoding="UTF-8"?>
<?xml-stylesheet type="text/xsl" href="/error.xsl"?>
<Error><ProxyTime>2015-10-13T17:36:01Z</ProxyTime><ProxyHTTPCode>403</ProxyHTTPCode><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>9D3E05D20C1BD6AC</RequestId><HostId>WvdkvIRIDMjfa/1Oi3DGVOTR0hABCDEFGHIJKLMNOPQRSTUVWXYZ+B8thZahg7W/I/ExAmPlEAQ=</HostId></Error>

然后，我使用 XSL 测试改变向用户显示的输出，以确定 S3 抛出了什么错误条件:

<xsl:if test="//Code = 'AccessDenied'">
  <p>It seems we may have provided you with a link to a resource to which you do not have access, or a resource which does not exist, or that our internal security mechanisms were unable to reach consensus on your authorization to view it.</p>
</xsl:if>

最终结果如下所示:



以上是一般的“拒绝访问”，因为没有提供凭据。这是过期签名的示例。



我不包括 HostId在输出中，因为它丑陋且嘈杂，而且，如果我需要它，代理会为我捕获并记录它，我可以交叉引用请求 ID。

当然，作为奖励，通过我的代理运行请求意味着我可以在提供存储桶内容时使用我自己的域名和我自己的 SSL 证书，并且我有实时访问日志，没有延迟。当代理与存储桶位于同一区域时，额外的数据传输步骤不会产生额外费用，我对这种设置非常满意。