Справка по директиве

aws_access_key

Директива 'aws_access_key' задаёт ключ доступа AWS для аутентификации запросов к сервисам AWS.

NGINX module to proxy to authenticated AWS services · httpserverlocation
Синтаксисaws_access_key your_aws_access_key;
По умолчаниюnone
Контекстhttp, server, location
Аргументы1

Описание

Директива 'aws_access_key' используется в конфигурациях NGINX для указания ключа доступа AWS, необходимого для аутентификации запросов к сервисам AWS, особенно при использовании S3 через протокол аутентификации AWS V4. Этот ключ является важной частью учетных данных, необходимых для генерации signing key, который используется для авторизации и подписывания запросов к AWS endpoints, обеспечивая защищённый доступ к ресурсам.

Директива ожидает один аргумент — идентификатор AWS access key. Она может быть определена в различных контекстах, таких как 'http', 'server' и 'location', что позволяет гибко настраивать область действия аутентификации. Предоставленный ключ доступа должен быть действительным и ассоциирован с идентичностью, имеющей разрешения на выполнение действий над соответствующим S3 bucket или другими указанными ресурсами AWS. Надлежащее управление ключом доступа, включая его защиту от несанкционированного доступа, имеет решающее значение для поддержания безопасности аккаунта AWS.

Когда сервер получает запросы, модуль автоматически включает 'aws_access_key' вместе с другими сконфигурированными параметрами, такими как signing key и key scope, чтобы аутентифицировать запросы к соответствующим AWS endpoints. Это позволяет бесшовно интегрировать NGINX в качестве прокси для сервисов AWS, при этом поддерживая надёжную безопасность за счёт использования подписанных запросов, которые снижают риск прямого раскрытия конфиденциальных учетных данных в конфигурации сервера.

Пример конфига

server {
    listen     8000;

    aws_access_key your_aws_access_key;  # Example: AKIDEXAMPLE
    aws_key_scope scope_of_generated_signing_key;  # Example: 20150830/us-east-1/service/aws4_request
    aws_signing_key signing_key_generated_using_script;  # Example: L4vRLWAO92X5L3Sqk5QydUSdB0nC9+1wfqLMOKLbRp4=
    aws_s3_bucket your_s3_bucket;

    location / {
        aws_sign;
        proxy_pass http://your_s3_bucket.s3.amazonaws.com;
    }
}

Убедитесь, что ключ доступа не жёстко прописан в общедоступных файлах конфигурации, чтобы предотвратить его раскрытие.

Всегда регулярно обновляйте ключ подписи, так как он действителен только одну неделю; если этого не сделать, возникнут ошибки аутентификации.

При развёртывании конфигураций на нескольких серверах убедитесь, что ключ доступа AWS синхронизирован должным образом.

Связанные директивы

aws_key_scopeaws_signing_keyaws_endpointaws_s3_bucket
← Ко всем директивам