差异原因 #

1. AWS CLI生成的7天链接大概率无效 #

AWS官方文档明确规定：使用临时凭证（如实例角色凭证）生成的S3预签名链接，过期时间不能超过凭证剩余有效期。你的实例角色最大会话时长为12小时，理论上无法生成超过12小时的有效预签名链接。

你看到CLI能生成7天的链接，是因为CLI没有强制校验凭证有效期，允许设置更长的过期时间，但这个链接在实例凭证过期（12小时后）会直接失效，无法访问S3对象。可以等待12小时后测试链接，会返回权限错误。

2. Ruby SDK的合规校验 #

Ruby SDK（aws-sdk-s3）会自动校验当前临时凭证的剩余有效期，强制将预签名链接的过期时间限制在凭证有效期内，这是符合AWS规范的行为，避免生成无效链接。

3. 额外可能性：CLI使用了非实例角色凭证 #

如果你的实例上同时存在~/.aws/credentials文件（存储了IAM用户的长期凭证），AWS CLI会优先使用该凭证而非实例角色的临时凭证。长期凭证生成的预签名链接支持最长7天有效期，这也会导致你看到的差异。可以执行aws configure list检查CLI当前使用的凭证来源。

如何在Ruby应用中生成7天有效期的预签名链接 #

要生成7天有效期的预签名链接，必须使用IAM用户的长期凭证（Access Key ID + Secret Access Key）——因为临时凭证（包括实例角色凭证）的最大有效期受限于你的IAM角色配置（12小时），无法满足7天的需求。

实现代码示例 #

require 'aws-sdk-s3'

# 使用IAM用户长期凭证初始化S3客户端
s3_client = Aws::S3::Client.new(
  access_key_id: ENV['IAM_ACCESS_KEY'],
  secret_access_key: ENV['IAM_SECRET_KEY'],
  region: 'your-bucket-region'
)

# 生成7天（604800秒）有效期的预签名链接
presigned_url = s3_client.presigned_url(
  :get_object,
  bucket: 'your-bucket-name',
  key: 'target-object-key',
  expires_in: 604800
)

puts presigned_url

注意事项 #

• 长期凭证需妥善保管，建议通过环境变量或安全配置工具传递，禁止硬编码到代码中。
• 如果出于安全要求必须使用实例角色，那么最长只能生成12小时有效期的预签名链接，无法达到7天。

内容的提问来源于stack exchange，提问作者voxobscuro