Как загрузить файл из s3-ведра с временным токеном в python

Question

У меня есть веб-приложение django, и я хочу разрешить ему загружать файлы из моего s3-ведра. Файлы не являются общедоступными. У меня есть политика IAM для доступа к ним. Проблема в том, что я делаю NOT хочу загрузить файл на сервере приложений django, а затем загрузить его для загрузки на клиент. Это похоже на загрузку дважды. Я хочу, чтобы иметь возможность загружать непосредственно на клиента приложения django. Кроме того, я не считаю безопасным передавать мои учетные данные IAM в HTTP-запросе, поэтому я думаю, что мне нужно использовать временный токен. Я читал: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html

но я просто не понимаю, как создать временный токен на лету. Решение python (возможно, с помощью boto) было бы оценено.

Answer 1

С Boto (2) должно быть очень просто создать URL-адреса с ограничением по времени, если ваша политика IAM имеет соответствующие разрешения. Я использую этот подход для подачи видеороликов зарегистрированным пользователям из частного ведра S3.

from boto.s3.connection import S3Connection 
conn = S3Connection('<aws access key>', '<aws secret key>') 
bucket = conn.get_bucket('mybucket') 
key = bucket.get_key('mykey', validate=False) 
url = key.generate_url(86400) 

Это будет генерировать URL для загрузки ключа foo в данном ведре, который действителен в течение 86400 секунд, то есть 24 часа. Без validate=False Boto 2 проверяет, что ключ фактически существует в ковше в первую очередь, а если нет, генерирует исключение. С помощью этих серверов контролируемых файлов часто ненужный дополнительный шаг, таким образом validate=False в примере

---

В Boto3 the API is quite different:

s3 = boto3.client('s3') 

# Generate the URL to get 'key-name' from 'bucket-name' 
url = s3.generate_presigned_url(
    ClientMethod='get_object', 
    Params={ 
     'Bucket': 'mybucket', 
     'Key': 'mykey' 
    }, 
    expires=86400 
)