目前正在进行一个项目,基本上是存储在 AWS S3 上的在线画廊。目前的流程是,前端网页向托管在 EC2 上的 API 服务发送请求,然后返回预签名 URL。该服务将使用 Go 语言和 aws-sdk-go-v2。
URL 是有时间限制的,设置为 PUT 对象类型。不幸的是,我还没有弄清楚如何限制将要上传的文件的其他方面。理想情况下,URL 应该受到限制,只接受图片等内容。
我的搜索结果各不相同,有些说可能可行,有些说不可能,有些则根本没有涉及我所做的事情。
关于设置 POST/PUT 策略的答案很多,但它们要么适用于 V1 SDK,要么就是完全不同的语言。 这个答案里甚至提供了一些可以实现此功能的库 ,但我不想立即使用它,因为它需要在代码中或环境中的某个地方放置访问密钥(尝试利用 EC2 的 IAM 角色自动化该过程的好处)。
有人知道这是否仍然是 SDK v2 上的问题吗?出于一致性的考虑,我想保持在 SDK v2 上。
编辑:几乎忘记了。我看到 S3 也可以在上传完成后跟随链接。这仍然可能吗?如果可以,那将是一个很好的验证,以便可以记录已上传的内容。
在返回预签名的PUT URL之前,您可以尝试通过后端API验证文件名。一个不太安全但是可行的方法是在前端客户端验证文件内容。
首先,虽然这有点像用大锤子砸蚂蚁,但您可以通过应用存储桶策略来按文件名进行限制。这个AWS Knowledge Center的示例只允许上传几种图像类型。
{
"Version": "2012-10-17",
"Id": "Policy1464968545158",
"Statement": [
{
"Sid": "Stmt1464968483619",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/exampleuser"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*.jpg",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*.png",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*.gif"
]
},
{
"Sid": "Stmt1464968483619",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"NotResource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*.jpg",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*.png",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*.gif"
]
}
]
}