GROWI Developers Wiki

{{pagename}} - {{sitename}}

Yuki Takei

# v3.4.7 時点の仕様

- [aws.js](https://github.com/weseek/growi/blob/d64662c7844eaba877506ef522ffbed549fc09eb/src/server/service/file-uploader/aws.js#L80) により、アップロード時に `ACL: 'public-read'` が付加された状態でアップロードされる
    - [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/acl-overview.html#canned-acl)

## 問題点

- `public-read` はパブリックアクセスを許可するため、S3 の当該URLを知っている物は誰でもインターネット経由でファイルにアクセスできてしまう
    - https://github.com/weseek/growi/issues/705
    - 後述のバケットポリシーを設定しなければ回避できない

# 回避策

## 1. バケットポリシーで明示的にブロックする

### 前提知識

- [【AWS】S3のBucket-ACLとObject-ACLとバケットポリシーどれが強いのか？](https://qiita.com/chokuzin/items/9637a6ce48c0ebb10b31)


### 方法

- [特定の IP アドレスへのアクセスの制限](https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/example-bucket-policies.html#example-bucket-policies-use-case-3)
- 上記を参考に、GROWI サーバーからの読み取りのみ許可するように設定する

## 2. AWS 以外のファイルアップロード方法を利用する

- `FILE_UPLOAD` 環境変数で変更できるアップロード先を AWS 以外に設定する
    - `mongodb`, `local` 等はシステム管理者以外アクセスできないリソースなので手軽にアップロードファイルに対するセキュリティを高められる
- **副作用: ただしそれまでアップロード・参照されていたファイルは閲覧できなくなる**

S3のACL設定

v3.4.7 時点の仕様

問題点

回避策

1. バケットポリシーで明示的にブロックする

前提知識

方法

2. AWS 以外のファイルアップロード方法を利用する