v3.4.7 時点の仕様

問題点

  • public-read はパブリックアクセスを許可するため、S3 の当該URLを知っている物は誰でもインターネット経由でファイルにアクセスできてしまう

回避策

1. バケットポリシーで明示的にブロックする

前提知識

方法

2. AWS 以外のファイルアップロード方法を利用する

  • FILE_UPLOAD 環境変数で変更できるアップロード先を AWS 以外に設定する
    • mongodb, local 等はシステム管理者以外アクセスできないリソースなので手軽にアップロードファイルに対するセキュリティを高められる
  • 副作用: ただしそれまでアップロード・参照されていたファイルは閲覧できなくなる