Nodejs AWS开发工具包S3生成预签名URL

112

我正在使用NodeJS AWS开发工具包生成预签名的S3 URL。该文档提供了一个生成预签名URL示例

这是我的确切代码(省略了敏感信息):

const AWS = require('aws-sdk')

const s3 = new AWS.S3()
AWS.config.update({accessKeyId: 'id-omitted', secretAccessKey: 'key-omitted'})

// Tried with and without this. Since s3 is not region-specific, I don't
// think it should be necessary.
// AWS.config.update({region: 'us-west-2'})

const myBucket = 'bucket-name'
const myKey = 'file-name.pdf'
const signedUrlExpireSeconds = 60 * 5

const url = s3.getSignedUrl('getObject', {
    Bucket: myBucket,
    Key: myKey,
    Expires: signedUrlExpireSeconds
})

console.log(url)

生成的URL如下所示:

https://bucket-name.s3-us-west-2.amazonaws.com/file-name.pdf?AWSAccessKeyId=[access-key-omitted]&Expires=1470666057&Signature=[signature-omitted]

我将该URL复制到浏览器中,并得到以下响应:

<Error>
  <Code>NoSuchBucket</Code>
  <Message>The specified bucket does not exist</Message>
  <BucketName>[bucket-name-omitted]</BucketName>
  <RequestId>D1A358D276305A5C</RequestId>
  <HostId>
    bz2OxmZcEM2173kXEDbKIZrlX508qSv+CVydHz3w6FFPFwC0CtaCa/TqDQYDmHQdI1oMlc07wWk=
  </HostId>
</Error>

我知道水桶存在。当我通过AWS Web GUI导航至该项目并双击时,它会打开带有URL的对象,并且工作正常:

https://s3-us-west-2.amazonaws.com/[bucket-name-omitted]/[file-name-omitted].pdf?X-Amz-Date=20160808T141832Z&X-Amz-Expires=300&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Signature=[signature-omitted]&X-Amz-Credential=ASIAJKXDBR5CW3XXF5VQ/20160808/us-west-2/s3/aws4_request&X-Amz-SignedHeaders=Host&x-amz-security-token=[really-long-key]

因此,我被认为我在使用SDK方面一定做错了。

node.js  amazon-web-services  amazon-s3  aws-sdk-js 
达斯汀
source
1
仔细检查生成的URL。 NoSuchBucket表示https://>>>here<<<.s3-us-west-2.amazonaws.com网址中显示的存储桶名称不存在。签名过程,策略,权限,密钥或机密中的任何内容都不会产生此特定错误。
Michael-sqlbot
8
在文档实例中的链接已被转移到docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/...
乔尔
@Dustin如果ACCESS Key暴露在url中并且在每次函数调用中更改url时,它的安全性如何
kailash yogeshwar
将secretAccessKey放在URL等公共场所并不安全,是的,我相信URL每次都会改变。@kailashyogeshwar
达斯汀
5
对于那些像我一样来到这里但没有得到确切答案的人,这就是我所需要的。上述每个URL中使用的签名版本不同。在创建S3实例之前设置签名版本,或在S3的配置中设置。 new AWS.S3({ signatureVersion: 'v4' })强制使用签名版本4。这是我对SSE KMS加密对象的要求。
Eric E.

Answers:

99

达斯汀

您的代码是正确的,请仔细检查以下内容:

  1. 您的存储桶访问策略。

  2. 您通过API密钥获得的存储桶权限。

  3. 您的API密钥和机密。

  4. 您的存储桶名称和密钥。

雷扎·穆萨维(Reza Mousavi)
source
92
令人尴尬的是,我的存储桶名称中有一个错字。
达斯汀
36
经典。属于我们中最好的。
Vlad A. Ionescu
-1

尝试使用此功能。

const AWS = require("aws-sdk");
const s3 = new AWS.S3({
  accessKeyId: 'AK--------------6U',
  secretAccessKey: 'kz---------------------------oGp',
  Bucket: 'bucket-name'
});

const getSingedUrl = async () => {    
  const params = {
    Bucket: 'bucket_name',
    Key: 'file-name.pdf',
    Expires: 60 * 5
  };

  try {
    const url = await new Promise((resolve, reject) => {
      s3.getSignedUrl('getObject', params, (err, url) => {
        err ? reject(err) : resolve(url);
      });
    });
    console.log(url)
  } catch (err) {
    if (err) {
      console.log(err)
    }
  }
}


getSingedUrl()
安吉特·库玛·拉杰波特
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.