Question

使用 AK, SK 方式登陆。AK, SK 在 app 申请 s3 权限时获取。可参照 Amazon s3 协议。

Amazon (S3) 是一个公开的服务，Web 应用程序开发人员可以使用它存储数字资产，包括图片、视频、音乐和文档。S3 提供一个 RESTful API 以编程方式实现与该服务的交互。

Amazon S3（Simple Storage Service）是一种广泛使用的云存储服务，提供多种认证机制来保护存储在 S3 中的数据。以下是 S3 主要的认证机制和相关概念：

1. 访问密钥（Access Keys）

• 定义 ：访问密钥由一对密钥组成，包括访问密钥 ID（Access Key ID）和秘密访问密钥（Secret Access Key）。它们用于对 API 请求进行身份验证。
• 使用方式 ：用户在访问 S3 API 时提供这些密钥，AWS 通过验证密钥来确认请求的合法性。

2. IAM（Identity and Access Management）

• 定义 ：AWS IAM 允许用户创建和管理 AWS 用户及其权限。通过 IAM，您可以为用户分配角色和策略，控制他们对 S3 的访问权限。
• 策略类型 ：
  • 基于角色的访问控制（RBAC） ：根据用户角色授予不同的权限。
  • 策略文档 ：使用 JSON 格式定义允许或拒绝访问 S3 资源的权限。

3. 签名请求（Signed Requests）

• 定义 ：所有对 S3 的 API 请求都需要进行签名，以确保请求的完整性和真实性。签名包含时间戳和请求的哈希值。
• 流程 ：
  1. 客户端使用访问密钥和秘密密钥生成请求的签名。
  2. 将签名附加到请求中，发送给 S3。
  3. S3 通过相同的方式计算签名并进行比对，验证请求的合法性。

4. 临时安全凭证（Temporary Security Credentials）

• 定义 ：通过 AWS Security Token Service (STS) 获取的临时安全凭证，适用于需要短期访问 S3 的情况。
• 使用场景 ：如使用 IAM 角色进行跨账户访问或为 EC2 实例提供临时凭证。

5. 多因素认证（MFA）

• 定义 ：为 IAM 用户启用 MFA 后，用户在执行某些操作时需要提供第二种认证形式（如手机应用生成的验证码）。
• 增强安全性 ：特别适用于执行高风险操作，如删除对象或修改权限。

6. Bucket 策略和 CORS 配置

• Bucket 策略 ：允许用户为特定 S3 桶定义访问控制规则，可以通过 JSON 文档设置谁可以访问桶及其内容。
• CORS（跨源资源共享）配置 ：允许浏览器从不同源（域）请求 S3 资源，必须在 S3 桶中配置相应的 CORS 规则。

7. S3 Access Points

• 定义 ：为特定应用程序或用户组提供定制的访问点。每个访问点可以配置独立的权限和网络访问规则。
• 优势 ：提高了对特定数据集的安全控制和管理能力。

总结

Amazon S3 提供了多种认证机制和访问控制策略，以确保数据安全。用户可以根据需求选择合适的认证方式，如使用 IAM、临时凭证或 MFA 等，来增强对 S3 资源的保护。这些机制结合使用，可以有效地防止未授权访问，确保数据的机密性和完整性。