growing hard days.

ある意味マネジメントコンソールで生成された署名付きURL

2021/07/02 2021/07/08

マネジメントコンソールにS3オブジェクトの[開く]というボタンがいつのまにか出来ていました。

アクセスコントロールリストもバケットポリシーも設定しないプライベートなバケットのオブジェクトでも、マネジメントコンソールを操作しているIAMユーザーに権限があれば、[開く]ボタンでブラウザ新規タブでGetObjectできています。

その際のURLを見ると、パラメータに以下がありました。
X-Amz-Security-Token
X-Amz-Algorithm
X-Amz-Date
X-Amz-SignedHeaders
X-Amz-Expires
X-Amz-Credential
X-Amz-Signature

一時的な署名付きURLが生成されているようです。
別のブラウザでコピーしてアクセスしてみたら、アクセスできました。

X-Amz-Expiresは300でした。
300秒経過してからアクセスしてみると、以下のメッセージでした。

<Error>
<Code>AccessDenied</Code>
<Message>Request has expired</Message>
<X-Amz-Expires>300</X-Amz-Expires>
<Expires>2021-07-08T12:58:22Z</Expires>
<ServerTime>2021-07-08T12:58:48Z</ServerTime>
<RequestId>XSN190YGD3E6NJ5B</RequestId>
<HostId>4yzDFfIwUkKWFR9U6cVF15jJVYax4m7kYPIDegl1jr807bBEeAnUQHGkiKuOspRh5pFhNP8fLR4=</HostId>
</Error>

1

2

3

4

5

6

7

8

9

10

<Error>

<Code>AccessDenied</Code>

<Message>Request has expired</Message>

<X-Amz-Expires>300</X-Amz-Expires>

<Expires>2021-07-08T12:58:22Z</Expires>

<ServerTime>2021-07-08T12:58:48Z</ServerTime>

<RequestId>XSN190YGD3E6NJ5B</RequestId>

<HostId>4yzDFfIwUkKWFR9U6cVF15jJVYax4m7kYPIDegl1jr807bBEeAnUQHGkiKuOspRh5pFhNP8fLR4=</HostId>

</Error>

URLのX-Amz-Dateが20210708T125322Z&でしたので、300秒後の2021-07-08T12:58:22Zの期限切れになったということでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

Tweet

関連記事

: WordPressの年ごとのブログ投稿数を調べるSQL

毎年年末に使いそうなのでメモです。 [crayon-6916bec17be956 …

: CloudFormationスタックポリシーでスタック更新を防止する

CloudFormationのスタックにスタックポリシーを設定することによって、 …

: EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間や …

: NGINXで500と502のエラーが実は頻発していたらしい

先日Mackerelで当ブログの外形監視を始めたのですが、500と502のエラー …

: AWS App RunnerでGithubリポジトリからデプロイ

AWS App Runner開発者ガイドのチュートリアルをやってみました。 Gi …

: EC2 Amazon LinuxのNginx+RDS MySQLにレンタルWebサーバーからWordPressを移設する(手順整理版)

ブログサイト(WordPress)をレンタルWebサーバーからAWSに移設する事 …

: AWS Cost Explorerの履歴を38ヶ月とリソース別コストを見られるように設定しました

AWS Cost Explorer がより詳細な履歴データの提供を開始知らなか …

: RDSインスタンス作成時にEC2に接続設定するオプション

EC2 インスタンスと RDS データベースを自動的に接続するの動作を確認した …

: Amazon API GatewayをLambda(Python)で削除する

やりたいこと特定のAWSアカウント、特定のリージョン内のAPI Gateway …

: AWS BatchでPandocコンテナイメージを実行する

「ECR(Amazon Elastic Container Registry)に …

PREV: S3署名付きURL(GetObject)生成後にオブジェクトを上書きアップロードしたら
NEXT: Lambdaバージョンとエイリアスとトリガー