Ich möchte vor-signierte URLs mit AWS S3 verwenden. Was ich bemerkte, ist, dass die vor-signierte URL die aws_access_key_id
und die aws_security_token
enthält.Was ist das "aws_security_token" für
Von meinem Verständnis ist die aws_security_token
Teil der URL, weil ich temporäre Sicherheitsberechtigungsnachweise verwende und es notwendig ist, die URL ordnungsgemäß zu signieren.
Aber ist es in Ordnung, die URL zu geben, sagen wir einem Frontend-Client, um ein Bild herunterzuladen? Die aws_security_token
ist Teil der URL (nicht verschlüsselt). Ich mache mir Sorgen um die Sicherheit und ich konnte nicht herausfinden, was der Zweck des Tokens ist. Und was ein Angreifer mit meinem aws_access_key_id
und dem aws_security_token
machen kann.
Vielen Dank für diese Erklärung. Dies ist eine sehr gute Zusammenfassung dessen, was ich in verschiedenen Quellen gelesen habe. Kennst du eine offizielle Quelle, wo ich nachschlagen kann, was du beschrieben hast? Ich habe in keiner AWS-Dokumentation einen nützlichen Überblick gefunden. – kgalli