我有一个公共访问被阻止的存储桶,我需要从 EC2 实例上运行的 nginx 进行访问。
EC2 实例配置文件具有正确的访问权限,但对于 nginx 访问 S3,我需要在每个请求上传递凭据。我将研究 nginx 缓存和 AWS 凭证的生命周期,但我想了解一些关于此场景的最佳实践的想法。
允许在存储桶策略级别上进行访问是一种选择,并且可能会更容易。
一种选择是将 NGINX 配置为 AWS S3 的身份验证和缓存网关,其中包括:
允许您代理私有 S3 存储桶,而无需用户对其进行身份验证。在代理层内,可以配置其他功能,例如:
- 列出 S3 存储桶的内容
- 使用 S3 的替代身份验证系统提供身份验证网关
NGINX 在 nginxinc/nginx-s3-gateway 提供了这样的网关配置。