growing hard days.

ある意味マネジメントコンソールで生成された署名付きURL

2021/07/02 2021/07/08

マネジメントコンソールにS3オブジェクトの[開く]というボタンがいつのまにか出来ていました。

アクセスコントロールリストもバケットポリシーも設定しないプライベートなバケットのオブジェクトでも、マネジメントコンソールを操作しているIAMユーザーに権限があれば、[開く]ボタンでブラウザ新規タブでGetObjectできています。

その際のURLを見ると、パラメータに以下がありました。
X-Amz-Security-Token
X-Amz-Algorithm
X-Amz-Date
X-Amz-SignedHeaders
X-Amz-Expires
X-Amz-Credential
X-Amz-Signature

一時的な署名付きURLが生成されているようです。
別のブラウザでコピーしてアクセスしてみたら、アクセスできました。

X-Amz-Expiresは300でした。
300秒経過してからアクセスしてみると、以下のメッセージでした。

<Error>
<Code>AccessDenied</Code>
<Message>Request has expired</Message>
<X-Amz-Expires>300</X-Amz-Expires>
<Expires>2021-07-08T12:58:22Z</Expires>
<ServerTime>2021-07-08T12:58:48Z</ServerTime>
<RequestId>XSN190YGD3E6NJ5B</RequestId>
<HostId>4yzDFfIwUkKWFR9U6cVF15jJVYax4m7kYPIDegl1jr807bBEeAnUQHGkiKuOspRh5pFhNP8fLR4=</HostId>
</Error>

1

2

3

4

5

6

7

8

9

10

<Error>

<Code>AccessDenied</Code>

<Message>Request has expired</Message>

<X-Amz-Expires>300</X-Amz-Expires>

<Expires>2021-07-08T12:58:22Z</Expires>

<ServerTime>2021-07-08T12:58:48Z</ServerTime>

<RequestId>XSN190YGD3E6NJ5B</RequestId>

<HostId>4yzDFfIwUkKWFR9U6cVF15jJVYax4m7kYPIDegl1jr807bBEeAnUQHGkiKuOspRh5pFhNP8fLR4=</HostId>

</Error>

URLのX-Amz-Dateが20210708T125322Z&でしたので、300秒後の2021-07-08T12:58:22Zの期限切れになったということでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

Tweet

関連記事

: AWSアカウントルートユーザーのMFAが使えなくなったので復旧

AWSのルートユーザーどころか、MFAが使えるログインすべてが使えなくなって焦り …

: Cloud9 Python3でpipも3にする

このブログは、2019/10/20に書いた、 Cloud9のAMIがCloud9 …

: Cloud9のデフォルト設定での権限確認(AWS managed temporary credentials)

Cloud9の環境を作成した際のデフォルトアクセス権限は、環境を作成したIAMユ …

: 前からできましたっけ？？CloudWatch Logsの保持設定を複数まとめて設定

AWSの個人アカウントで要らなさそうなリソースの断捨離をしてます。 CloudW …

: このブログをAWS大阪リージョンへ移行しました

大阪リージョン爆誕！！朝起きて寝ぼけながらリージョンを見てると。「大阪リージ …

: CloudTrailイベントのコストしか発生していないリージョンのコスト発生源を調査しました

調査のきっかけふと検証用AWSアカウントのCostExplorerを見てました …

: Rocket.ChatからOut Going Webhookを設定してみる

API GatewayとLambda とりあえず、どんなデータが飛んでくるのか見 …

: EC2 Auto Scalingグループでインスタンスの更新を実行

このブログのAMI、起動テンプレートを更新して、EC2 Auto Scaling …

: Backlogの課題チケット更新内容をMicrosoft Teamsに通知する(AWS Lambda Python)

BacklogにSlack連携が追加されました。ですが、私の所属している会社で …

: cfn-signalの認証とネットワーク

AWS CloudFormationヘルパースクリプトのcfn-signalがC …

PREV: S3署名付きURL(GetObject)生成後にオブジェクトを上書きアップロードしたら
NEXT: Lambdaバージョンとエイリアスとトリガー