亚马逊云s3防盗刷怎么配置

🔒 亚马逊云 S3 防盗刷配置指南

Amazon S3（Simple Storage Service）广泛用于图片、音视频及附件存储。站点流量增长时，难免遇到资源被第三方恶意盗用，增加费用压力。下面为你介绍几种常见的 S3 防盗刷（防盗链）配置方法，保护你的文件安全！

1. 利用 Bucket Policy 限制 Referer 🛡️

原理：通过检查 HTTP 请求头中的 Referer 字段，仅允许特定来源访问你的资源。

1. 登录 AWS 控制台，进入 S3，选择对应的 Bucket。
2. 点击 权限 > 存储桶策略。
3. 添加如下策略（将 yourbucketname 和 yourdomain.com 替换为实际内容）：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowGetRequestsReferredByMySite",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::yourbucketname/*",
         "Condition": {
           "StringLike": {
             "aws:Referer": [
               "https://yourdomain.com/*",
               "https://www.yourdomain.com/*"
             ]
           }
         }
       },
       {
         "Sid": "DenyGetRequestsNotReferredByMySite",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::yourbucketname/*",
         "Condition": {
           "StringNotLike": {
             "aws:Referer": [
               "https://yourdomain.com/*",
               "https://www.yourdomain.com/*"
             ]
           }
         }
       }
     ]
   }

   提示：Referer 可被伪造，因此该方式提高门槛但并非绝对安全。

2. 配置 CloudFront + 签名 URL ⏳

推荐为重要资源上 CDN（如 AWS CloudFront），并为资源访问加上签名限制，有效防止盗刷。

• 设置分发：为 S3 配置 CloudFront 分发。
• 启用「Signed URLs」或「Signed Cookies」：只允许带有特定签名的请求访问资源，可设置有效期。
• 前端应用动态生成签名链接，对用户发放临时访问权限，防盗刷能力更强。

3. 设置对象访问权限 👥

• 避免 S3 Bucket 和对象被设为 公共读，仅授权特定用户或角色访问。
• 必要时使用 IAM 用户/角色限定 API 访问。

4. 限制下载速率 & 并发量 🚦

配合 WAF（Web Application Firewall）、API Gateway、Lambda@Edge 实现复杂防护，如限制单一 IP 的访问频率等。

5. 监控与告警 📈

• 通过 AWS CloudWatch 监控请求量，一旦异常及时处理。
• 开启S3访问日志，分析可疑行为。

总结

防盗刷需要多层防护。建议结合 Referer 限制、CDN 签名、访问权限配置等方式，并借助 AWS 的监控和自动化工具，最大程度降低风险。如果是重要资源，建议优先使用带签名的 CloudFront URL！

😉 有更多具体需求，欢迎随时咨询！