这种“允许知晓文件名的用户访问对应文件，但禁止任何人列出桶内内容”的场景，在Amazon S3里是完全可以实现的，而且是很常见的匿名访问配置方式。下面是具体的实现步骤和注意事项：

核心配置：桶策略（Bucket Policy） #

你需要通过自定义桶策略来实现两个关键规则：

1. 允许匿名用户获取桶内的任意对象（前提是知道准确的文件名）
2. 严格禁止匿名用户执行列出桶内容的操作

这里是一个可以直接参考的桶策略示例（记得把your-bucket-name替换成你的实际桶名）：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::your-bucket-name/*"
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::your-bucket-name"
    }
  ]
}

策略解释： #

• 第一条语句：Principal: "*"代表允许所有匿名用户执行s3:GetObject操作，Resource指定为桶下的所有对象（/*后缀），这样只要用户知道准确的文件路径，就能直接访问。
• 第二条语句：明确拒绝所有匿名用户执行s3:ListBucket操作，Resource是桶本身（没有/*后缀），这就彻底阻止了任何人通过API或工具扫描、列出桶内的文件列表。

必要的公共访问设置调整 #

在应用桶策略之前，你需要确保S3的Block Public Access设置没有完全阻止公共访问：

• 进入S3控制台的桶详情页，切换到「Permissions」标签
• 找到「Block Public Access (bucket settings)」，点击「Edit」
• 确保「Block all public access」处于关闭状态，并且至少要关闭「Block public access to buckets and objects granted through any access control lists (ACLs)」和「Block public access to buckets and objects granted through bucket policies」这两个选项（具体根据你的需求调整，但必须允许桶策略生效）

额外注意事项 #

• 文件名随机性很重要：既然依赖文件名的保密性来控制访问，一定要确保文件名是足够随机、无规律的（比如你示例中的长随机字符串），避免被暴力破解工具猜中。
• 避免敏感信息暴露：不要在文件名或文件路径中包含任何敏感数据，哪怕文件名是随机的，也防止意外泄露。
• 可扩展的权限控制：如果之后需要更精细的控制（比如只允许特定IP段访问），可以在桶策略的允许语句中添加Condition条件来实现，比如限制aws:SourceIp。

内容的提问来源于stack exchange，提问作者Alien13