Подписанные ссылки для доступа к объектам

По умолчанию доступ к объектам в Object Storage имеет только владелец. Владелец может назначать права доступа другим пользователям.

Однако при работе с Object Storage могут возникнуть ситуации, когда доступ к объектам нужно предоставить любому пользователю из интернета, например:

необходимость открыть один или несколько объектов для публичного скачивания;
организация резервного копирования и миграции данных;
интеграция Object Storage со сторонними сервисами и приложениями.

Организовать ограниченный публичный доступ к объектам можно с помощью подписанных ссылок (presigned URL), которые включают подпись, подтверждающую авторизацию. Доступ к объекту по таким ссылкам может получить любой пользователь.

Подписанная ссылка дает доступ только к одному объекту. Время ее действия ограничено. С помощью подписанной ссылки можно выполнить только одну операцию: либо загрузить, либо скачать объект.

Подписанную ссылку может сгенерировать любой пользователь, у которого есть НМAC-ключ.

Структура подписанной ссылки

Подписанная ссылка имеет следующий вид:

1
https://storage.mwsapis.ru/bucket/file1.txt?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=t9XS183JYMrbWlieuXRz%2F20241205%2Fru-central1%2Fs3%2Faws4_request&X-Amz-Date=20241205T075426Z&X-Amz-Expires=604800&X-Amz-SignedHeaders=host&X-Amz-Signature=ecb7b343c27b4582124cc7e8271a53db20006b9d86dff33719db1edcebeb9998

В ее состав входит подпись, а также некоторые дополнительные параметры:

Параметр	Описание
`X-Amz-Algorithm`	Алгоритм для генерации подписи
`X-Amz-Expires`	Время в секундах, в течение которого ссылка будет действительна. Может иметь значение от 60 (1 минута) до 604800 (7 дней) секунд
`X-Amz-Date`	Время и дата подписания запроса в формате `YYYMMDDThhmmss`. Должна совпадать с датой в параметре `X-Amz-Credential`
`X-Amz-SignedHeaders`	Заголовки, которые были использованы при создании подписи (через запятую)
`X-Amz-Signature`	Криптографическая подпись, которая создается с помощью секретного ключа и подтверждает, что запрос был авторизован
`X-Amz-Credential`	Учетные данные, которые включают идентификатор ключа доступа и дату. Имеют формат вида `<идентификатор ключа доступа>/<дата в формате YYYY-MM-DD/<ru-central1>/<aws4-request>`

Сгенерировать подписанную ссылку на скачивание объекта

AWS CLI
Python
Go

1
aws s3 presign s3://<имя бакета>/<ключ объекта> --expires-in <срок действия ссылки в секундах>

Приведенный код на Python:

Импортирует библиотеку boto3 — официальный AWS SDK для Python.
Создает клиент и сессию для подключения к Object Storage.
Определяет имя бакета и ключ объекта, для скачивания которого нужно создать подписанную ссылку.
Устанавливает для подписанной ссылки срок действия 10 минут (600 секунд).
Генерирует и выводит подписанную ссылку на скачивание объекта.

1
import boto3
2
session = boto3.session.Session(profile_name='default')
3
s3 = session.client(
4
   service_name='s3',
5
   endpoint_url='https://storage.mwsapis.ru/'
6
)
7
# определяем параметры подписанной ссылки
8
presigned_url = s3.generate_presigned_url(
9
    "get_object",
10
    Params={"Bucket": "bucket", "Key": "file.txt"}, #бакета и ключ объекта
11
    ExpiresIn=600, #сроке действия - 10 минут (600 секунд)
12
)
13

14
print(presigned_url) #выводим подписанную ссылку

Приведенный код на Go:

Импортирует необходимые пакеты, в том числе AWS SDK для Go.
Подгружает конфигурацию из ~/aws/*.
Создает клиент для доступа к Object Storage.
Создает клиент для генерации подписанных ссылок.
Генерирует подписанную ссылку на скачивание объекта.
Устанавливает для нее срок действия 10 минут (600 секунд).
Выводит сгенерированную ссылку.

1
package main
2

3
import (
4
    "context"
5
    "fmt"
6
    "time"
7

8
    "github.com/aws/aws-sdk-go-v2/aws"
9
    "github.com/aws/aws-sdk-go-v2/config"
10
    "github.com/aws/aws-sdk-go-v2/service/s3"
11
)
12

13
func main() {
14
    // Подгружаем конфигурацию из ~/aws/*
15
    cfg, err := config.LoadDefaultConfig(context.TODO())
16
    if err != nil {
17
        fmt.Println("Failed to load AWS configuration:", err)
18
        return
19
    }
20

21
    // Создаем клиент для доступа к Object Storage
22
    client := s3.NewFromConfig(cfg)
23

24
    // Создаем клиент для генерации подписанных ссылок
25
    presignClient := s3.NewPresignClient(client)
26

27
    // Генерируем подписанную ссылку для скачивания объекта
28
    getObjectInput := &s3.GetObjectInput{
29
        Bucket: aws.String("bucket"),
30
        Key:    aws.String("file.txt"),
31
    }
32
    presignedURL, err := presignClient.PresignGetObject(context.TODO(), getObjectInput, func(opts *s3.PresignOptions) {
33
        // Устанавливаем для подписанной ссылки срок действия 10 минут (600 секунд)
34
        opts.Expires = 600 * time.Second
35
    })
36
    if err != nil {
37
        fmt.Println("Failed to generate presigned URL:", err)
38
        return
39
    }

Чтоб скачать объект, вставьте подписанную ссылку в адресную строку браузера. Скачивание начнется автоматически.

Также для скачивания можно использовать консольные утилиты — например, cURL:

1
curl -o <имя, под которым будет сохранен объект> "<подписанная ссылка>"

Сгенерировать ссылку на загрузку объекта

Сгенерировать ссылку на загрузку объекта в Object Storage можно только с помощью SDK. В утилите AWS CLI генерация ссылок для загрузки не поддерживается.

Python
Go

Приведенный код на Python:

Импортирует библиотеку boto3 — официальный AWS SDK для Python.
Создает клиент и сессию для подключения к Object Storage.
Определяет имя бакета, в который нужно загрузить объект, и имя, под которым объект будет загружен.
Устанавливает для подписанной ссылки срок действия 10 минут (600 секунд).
Генерирует и выводит подписанную ссылку на загрузку объекта.

1
import boto3
2
session = boto3.session.Session(profile_name='default')
3
s3 = session.client(
4
   service_name='s3',
5
   endpoint_url='https://storage.mwsapis.ru/'
6
)
7
presigned_url = s3.generate_presigned_url(
8
    "put_object",
9
    Params={"Bucket": "bucket", "Key": "file.txt"},
10
    ExpiresIn=600,
11
)
12

13
print(presigned_url)

Приведенный код на Go:

Импортирует необходимые пакеты, в том числе AWS SDK для Go.
Подгружает конфигурацию из ~/aws/*.
Создает клиент для доступа к Object Storage.
Создает клиент для генерации подписанных ссылок.
Генерирует подписанную ссылку на загрузку объекта.
Устанавливает для нее срок действия 10 минут (600 секунд).
Выводит сгенерированную ссылку.

1
package main
2

3
import (
4
    "context"
5
    "fmt"
6
    "time"
7

8
    "github.com/aws/aws-sdk-go-v2/aws"
9
    "github.com/aws/aws-sdk-go-v2/config"
10
    "github.com/aws/aws-sdk-go-v2/service/s3"
11
)
12

13
func main() {
14
    // Подгружаем конфигурацию для AWS
15
    cfg, err := config.LoadDefaultConfig(context.TODO())
16
    if err != nil {
17
        fmt.Println("Failed to load AWS configuration:", err)
18
        return
19
    }
20

21
    // Создаем клиент для доступа к Object Storage
22
    client := s3.NewFromConfig(cfg)
23

24
    // Создаем клиент для генерации подписанных cсылок
25
    presignClient := s3.NewPresignClient(client)
26

27
    // Генерируем подписанный URL для загрузки объекта
28
    putObjectInput := &s3.PutObjectInput{
29
        Bucket: aws.String("bucket"),
30
        Key: aws.String("file.txt"),
31
    }
32
    presignedURL, err := presignClient.PresignPutObject(context.TODO(), putObjectInput, func(opts *s3.PresignOptions) {
33
        // Устанавливаем для подписанной ссылки срок действия 10 минут (600 секунд)
34
        opts.Expires = 600 * time.Second
35
    })
36
    if err != nil {
37
        fmt.Println("Failed to generate presigned URL:", err)
38
        return
39
    }
40

41
    fmt.Println("Presigned URL:", presignedURL.URL)
42
}

Загрузить объект по подписанной ссылке можно с помощью утилиты cURL:

1
curl -X PUT -T <путь к файлу в локальной системе> "<подписанная ссылка>"