@haozheliu 谢谢。不过不想对 aws 特定的服务有依赖，例如 lambda 这种的。方便后续如果有需要，可以随时迁移出去。

@qinxi @ElmerZhang @cominghome @ThanksSirAlex @doyel @BeautifulSoap @git00ll 谢谢各位！最近在忙别的没来得及看。

可以使用加签的链接在后端鉴权。但其他用户拿到了加签后的链接，肯定也是可以访问的。

虽然 S3 的 bucket 是可以通过设置来 Policy 控制哪个 User 可以访问，你还是得自己包装一层吧，你会给每个用户创建一个 IAM User 吗。如果是用 Cognito 的话好像还是得用户池和角色绑定，这块不太熟。

你是要直接访问 s3 链接还是要在 s3 链接外套一层服务再访问？

直接访问 s3 链接需要首先在 IAM 里配置对应的 user 和 user 的策略只能访问指定的 bucket ，然后获取到用户的两个 KEY ，然后用这两个 KEY 来获取。至于怎么在代码里用，直接找 aws 的 sdk 就行，用 sdk 里附带的 s3 类配合认证信息获取图像
但这么做有个问题在于你必须明文把 aws 用户的两个 key 交给客户端，而且用户多了不可能每个用户都配置一个 user

所以一般做法还是在 s3 外套个自己写的服务器，在服务器内鉴权，成功之后通过你服务器获取 s3 中的图片而非直接拿 s3 的 url

IAM 白名单或者是认证 token

设置私有，服务端统一保存秘钥，是不是用户本人，在自己的应用里面判断

参考： https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html

如果想实现类似一次性的效果，可把有效时间设置短一些

这个需求很常见啊，用不上 IAM 。
S3 bucket 设置成私有，上传时记录好文件所有者信息，用户点击文件-->后端鉴权-->跳转到加签的 URL

自己做的用户系统就得你自己管，用 AWS 的 IAM 做的用户管理才可以直接套 S3 的权限。

CloudFront + lambda edge 吧

s3 权限设为私有
你们自己网站做用户系统
用户上传文件时你们要记录用户 ID 和对应文件地址
用户要下载的时候通过你们网站生成的一次性下载地址来下载

"只允许用户自己" 关键在于怎么确定是“用户自己”, 也就 用什么认证方式, 如果你的这个“用户自己”是 IAM 里的我想你应该知道怎么做了，如果这个“用户自己”是别的地方的恐怕就不行了

设置权限 private. 后端计算签名