署名付きS3 URL(Signature V4)を解析する
Signature Version 4の署名付きS3 URLを認証コンポーネントに分解します。署名プロセスの各クエリパラメータを理解します。
Pre-signed URLs
詳細な説明
Signature V4の署名付きURL
署名付きURLは、クライアントにAWS認証情報を必要とせずにS3オブジェクトへの一時的でスコープ付きのアクセスを提供します。Signature Version 4(SigV4)はAWSで使用される現在の署名標準です。
URL例
https://my-bucket.s3.us-west-2.amazonaws.com/reports/annual-2024.pdf?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIOSFODNN7EXAMPLE%2F20240115%2Fus-west-2%2Fs3%2Faws4_request&X-Amz-Date=20240115T120000Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Signature=abcdef1234567890
解析されたコンポーネント
ベースURL:
| コンポーネント | 値 |
|---|---|
| バケット | my-bucket |
| キー | reports/annual-2024.pdf |
| リージョン | us-west-2 |
| スタイル | 仮想ホスト形式 |
署名パラメータ:
| パラメータ | 値 | 目的 |
|---|---|---|
X-Amz-Algorithm |
AWS4-HMAC-SHA256 |
署名アルゴリズム |
X-Amz-Credential |
AKIAI.../20240115/us-west-2/s3/aws4_request |
アクセスキー + 認証情報スコープ |
X-Amz-Date |
20240115T120000Z |
リクエストタイムスタンプ(ISO 8601) |
X-Amz-Expires |
3600 |
有効期間(秒)(1時間) |
X-Amz-SignedHeaders |
host |
署名に含まれるヘッダー |
X-Amz-Signature |
abcdef.... |
計算されたHMAC-SHA256署名 |
認証情報スコープの分解
認証情報の値AKIAIOSFODNN7EXAMPLE/20240115/us-west-2/s3/aws4_requestには以下が含まれます:
- アクセスキーID:
AKIAIOSFODNN7EXAMPLE - 日付:
20240115(YYYYMMDD) - リージョン:
us-west-2 - サービス:
s3 - リクエストタイプ:
aws4_request(常にこのリテラル文字列)
有効期限
URLはX-Amz-DateからX-Amz-Expires秒間有効です。有効期限後、S3は403 Access Deniedレスポンスを返します。最大有効期限はIAMユーザー認証情報使用時は7日間(604800秒)、一時的な認証情報の場合はセッション期間に制限されます。
ユースケース
X-Amz-DateとX-Amz-Expiresパラメータを検査して署名付きURLの有効期限が切れていないか確認し、署名付きURLが機能しなくなった理由をデバッグする。