将blob文件从javascript代码上传到S3，而不泄露密钥

Question

我正在使用a link直接上传blob文件到S3服务器，但我不想透露秘密访问密钥，因为在这个链接，请提供它可以做到这一点。

任何帮助都将不胜感激..谢谢!！

Answer 1

一些可能的选项：

1.使用预签名的

来自Uploading Objects Using Pre-Signed URLs

预签名网址允许您访问网址中标识的对象，前提是预签名网址的创建者具有访问该对象的权限。也就是说，如果您收到用于上载对象的预签名URL，则仅当预签名URL的创建者具有上载该对象所需的权限时，才能上载该对象。

2.生成临时凭据

使用AWS Security Token Service (STS)生成具有有限权限的临时凭据。这些凭据可以在有限的时间内(例如5分钟)允许特定活动(例如，上传到亚马逊S3中的特定位置)。暴露这些凭据的危险相对较小(因为它们只能执行您的网页所允许的操作)。

使用AssumeRole获取在IAM角色中定义的权限，或使用GetSessionToken根据当前IAM用户缩小权限范围。

3.使用web身份联合

Web identity federation允许通过Google+、Facebook和亚马逊等第三方提供商进行身份验证。用户向这些服务之一进行身份验证，您的网站可以使用该身份来允许访问AWS服务。您将公开的唯一凭据仅与这些用户本身相关。