如何设置S3桶策略

Question

【以下的问题经过翻译处理】 我有一个s3存储桶，已开放对于所有人的getObject权限。
我想要只允许s3签名URL和CloudFront签名URL使用putObject方法。
我应该如何调整我的策略？

Answer

【以下的回答经过翻译处理】 你可以调整存储桶策略，包括一个检查签名URL中包含的特定查询字符串参数的条件。下面是一个示例：
'''
{
    "Version": "2012-10-17",
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "Allow-put-object-only-with-signed-url",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/*",
            "Condition": {
                "StringLike": {
                    "aws:url-param": "URL-signature=*"
                }
            }
        }
    ]
}
'''
这会允许使用带有“url签名”查询字符串参数的S3签名URL进行putObject操作。对于CloudFront签名URL，可以在Principal字段中使用cloudfront:signedUrl，并包括一个检查CloudFront-Signature查询字符串参数存在的条件。

如何设置S3桶策略

Relevanter Inhalt