如何使用 Node/Typescript 获取签名的 S3 url?

【问题标题】:How can I get signed S3 url using Node/Typescript?如何使用 Node/Typescript 获取签名的 S3 url?
【发布时间】:2018-06-05 01:42:12
【问题描述】:

在 FaaS 中使用 Node + aws-sdk,我正在尝试获取一个预签名的 url 来将文件上传到 S3 存储桶。当我上传文件时,我得到以下响应

InvalidAccessKeyId我们的记录中不存在您提供的 AWS 访问密钥 ID。

// getUploadUrl
import { FunctionEvent } from 'graphcool-lib'
import * as AWS from 'aws-sdk'

const BUCKET = process.env['BUCKET'];
const AWS_ACCESS_KEY_ID = process.env['AWS_ACCESS_KEY_ID'];
const AWS_SECRET_ACCESS_KEY = process.env['AWS_SECRET_ACCESS_KEY'];

const signedUrlExpiresSeconds = 60*10;

AWS.config.update({
  accessKeyId: AWS_ACCESS_KEY_ID,
  secretAccessKey: AWS_SECRET_ACCESS_KEY,
  region: 'eu-west-2'
});

const s3 = new AWS.S3({ apiVersion: "2006-03-01" })

interface EventData {
  fileName: string
}

export default async (event: FunctionEvent<EventData>) => {

  if (!event.context.auth || !event.context.auth.nodeId) {
    return { error: 'No user logged in.' }
  }

  try {
    const { fileName } = event.data;

    // Pre-signing a putObject (asynchronously)
    const params = { Bucket: BUCKET, Key: fileName, Expires: signedUrlExpiresSeconds }
    const uploadUrl: string = await s3.getSignedUrl('putObject', params)

    if (!uploadUrl) {
      return { error: 'Unable to get presigned upload URL from S3' }
    }



    return { data: { uploadUrl } }
  } catch (e) {
    console.log(e)
    return { error: 'An unexpected error occured during password change.' }
  }
}

这是我对 AWS IAM 的权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

我正在使用以下方式上传文件

curl -v -T test.pdf presignedUrl

有什么想法吗?

这是生成的路径

"https://my-aws-s3-domain.s3.eu-west-2.amazonaws.com/test.pdf?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=XXXXXXX1222%2Feu-west-2%2Fs3%2Faws4_request&X-Amz-Date=20171222T153846Z&X-Amz-Expires=600&X-Amz-Signature=XXXXXX-268d&X-Amz-SignedHeaders=host"

我将 AWS 配置更新为 AWS.config.update({ region: 'eu-west-2' });,因为它会自动从 process.ENV 中获取 AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY(正如 Michael 所指出的那样)。

我再次尝试并收到Access denied 响应,因此我将 IAM 政策更改为:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::my-s3-bucket-name"
        }
    ]
}

它仍然给出拒绝访问错误。

【问题讨论】:

  • 向我们展示生成的 URL 的样子。您可以编辑路径、签名、令牌和密钥的内容,但访问密钥 ID 的前 4 个字符对于上下文很重要(AKIAASIA),因此我们需要查看这些。
  • @Michael-sqlbot 感谢 Michael - 我在上面添加了路径
  • X-Amz-Credential -- 开头是AKIA还是ASIA?
  • @Michael-sqlbot ASIA
  • AWS.config.update... 中删除凭据。环境变量应该自动使用,但你没有选择第三个,我认为应该是AWS_SESSION_TOKEN。通过明确设置其他两个,您正在破坏事物。没有这个,ASIA 凭据(S 代表 S 会话密钥)无效。

标签: javascript typescript amazon-s3 graphcool


【解决方案1】:

事实证明 Graphcool 的环境变量中有一个错误,这意味着 AWS 密钥没有更新。

可能与此问题有关: https://github.com/graphcool/framework/issues/799

编辑 - 在 Graphcool 中,AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 是受保护的环境变量。所以你不能使用它们

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2023-03-09
    • 1970-01-01
    • 1970-01-01
    • 2016-10-21
    • 2021-10-13
    • 2012-02-22
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode