growing hard days.

ある意味マネジメントコンソールで生成された署名付きURL

2021/07/02 2021/07/08

マネジメントコンソールにS3オブジェクトの[開く]というボタンがいつのまにか出来ていました。

アクセスコントロールリストもバケットポリシーも設定しないプライベートなバケットのオブジェクトでも、マネジメントコンソールを操作しているIAMユーザーに権限があれば、[開く]ボタンでブラウザ新規タブでGetObjectできています。

その際のURLを見ると、パラメータに以下がありました。
X-Amz-Security-Token
X-Amz-Algorithm
X-Amz-Date
X-Amz-SignedHeaders
X-Amz-Expires
X-Amz-Credential
X-Amz-Signature

一時的な署名付きURLが生成されているようです。
別のブラウザでコピーしてアクセスしてみたら、アクセスできました。

X-Amz-Expiresは300でした。
300秒経過してからアクセスしてみると、以下のメッセージでした。

<Error>
<Code>AccessDenied</Code>
<Message>Request has expired</Message>
<X-Amz-Expires>300</X-Amz-Expires>
<Expires>2021-07-08T12:58:22Z</Expires>
<ServerTime>2021-07-08T12:58:48Z</ServerTime>
<RequestId>XSN190YGD3E6NJ5B</RequestId>
<HostId>4yzDFfIwUkKWFR9U6cVF15jJVYax4m7kYPIDegl1jr807bBEeAnUQHGkiKuOspRh5pFhNP8fLR4=</HostId>
</Error>

1

2

3

4

5

6

7

8

9

10

<Error>

<Code>AccessDenied</Code>

<Message>Request has expired</Message>

<X-Amz-Expires>300</X-Amz-Expires>

<Expires>2021-07-08T12:58:22Z</Expires>

<ServerTime>2021-07-08T12:58:48Z</ServerTime>

<RequestId>XSN190YGD3E6NJ5B</RequestId>

<HostId>4yzDFfIwUkKWFR9U6cVF15jJVYax4m7kYPIDegl1jr807bBEeAnUQHGkiKuOspRh5pFhNP8fLR4=</HostId>

</Error>

URLのX-Amz-Dateが20210708T125322Z&でしたので、300秒後の2021-07-08T12:58:22Zの期限切れになったということでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

Tweet

関連記事

: AWS WAFのマネージドルールを見てみました

Web ACLで[Add managed rule groups]を選択しました …

: QuickSightのVisualizeをダッシュボード化して定期メール

「Backlogの実績工数をAmazon QuickSightで可視化してわかっ …

: AWS CLIを使用せずにCodeCommitへSSHユーザーで接続する

AWS CLIやアクセスキーID、シークレットアクセスキーなどを開発環境にセット …

: Amazon Connectから問い合わせ追跡レコード(CTR)をエクスポート

Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …

: Pandocサーバーのコンテナイメージを作成する

マークダウンからEPUBへの変換をAWS Batchで行いたく、ECRにアップロ …

: Going Serverless with AWS(AWS Summit Tokyo 2017)を聞いてきました

AWS Summit Tokyo 2017でセッション「Going Server …

: 「雲勉第1回【勉強会：新技術好き!】AWSマネージドサービス勉強会」に行ってきました

「雲勉第1回【勉強会：新技術好き!】AWSマネージドサービス勉強会」に行ってき …

: Amazon Connect 発信イベントをEventBridgeで確認

Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …

: Kinesis Data Analyticsの検索結果をKinesis Data FirehoseからS3バケットに保存する

Kinesis Data AnalyticsをKinesis Data Stre …

: Amazon CloudWatch Anomaly Detectionをダッシュボードに設定

Amazon CloudWatch クロスリージョンクロスアカウントダッシュボー …

PREV: S3署名付きURL(GetObject)生成後にオブジェクトを上書きアップロードしたら
NEXT: Lambdaバージョンとエイリアスとトリガー