如何通过可信服务器安全传输S3文件至无AWS credentials的不可信服务器？

阿华AIGC实验室

2026-5-21

当然有更高效的方案！不用再折腾「下载到可信服务器再转发」的中转流程，我们可以让不可信服务器直接安全访问S3，同时完全不会泄露你的长期AWS凭证。下面是几个经过实践验证的靠谱方案，你可以根据自己的场景选择：

方案1：预签名URL（Presigned URLs）—— 适合单次/少量文件传输

这是最常用的轻量方案：由可信服务器生成一个带有效期、限定权限的临时URL，传给不可信服务器后，对方就能直接用这个URL下载（或上传）指定的S3文件，全程不需要持有任何AWS凭证。

示例代码/命令

用Python的boto3生成下载URL：

import boto3
from botocore.config import Config

s3_client = boto3.client('s3', config=Config(signature_version='s3v4'))

# 生成有效期1小时的下载预签名URL
presigned_url = s3_client.generate_presigned_url(
    'get_object',
    Params={'Bucket': 'your-bucket-name', 'Key': 'target-file.txt'},
    ExpiresIn=3600  # 单位秒，可根据需求调整
)

用AWS CLI生成：

aws s3 presign s3://your-bucket-name/target-file.txt --expires-in 3600

优缺点

✅ 完全不用给不可信服务器任何AWS凭证，URL过期自动失效，风险极低
❌ 适合单次或少量文件，大量文件需要批量生成URL，操作略繁琐

方案2：STS临时凭证（AssumeRole）—— 适合多次/批量访问

如果不可信服务器需要频繁访问S3，或者需要操作多个文件/资源，可以用AWS STS的AssumeRole接口生成临时凭证：由可信服务器申请一批有时间限制、权限严格限定的临时AK/SK/SessionToken，传给不可信服务器后，对方就能用这些临时凭证直接调用S3 API。

操作步骤&示例

先在IAM创建一个角色，仅赋予S3的必要权限（比如只允许s3:GetObject访问指定bucket的特定前缀）
可信服务器调用STS接口获取临时凭证：

import boto3

sts_client = boto3.client('sts')

response = sts_client.assume_role(
    RoleArn='arn:aws:iam::123456789012:role/UnTrustedServerS3Access',
    RoleSessionName='UnTrustedServerSession',
    DurationSeconds=3600  # 有效期1小时，最长可设12小时（需角色配置支持）
)

# 提取临时凭证，传给不可信服务器
temp_credentials = {
    'aws_access_key_id': response['Credentials']['AccessKeyId'],
    'aws_secret_access_key': response['Credentials']['SecretAccessKey'],
    'aws_session_token': response['Credentials']['SessionToken']
}

不可信服务器用临时凭证访问S3（以AWS CLI为例）：

export AWS_ACCESS_KEY_ID=临时AK值
export AWS_SECRET_ACCESS_KEY=临时SK值
export AWS_SESSION_TOKEN=临时SessionToken值
aws s3 cp s3://your-bucket-name/target-file.txt ./