Когда вы запускаете веб-сайт на S3, у вас будет все обслуживаемое статическое интерфейсное содержимое (так же, как на чистом веб-сайте HTML / CSS / Javascript без веб-сервера на локальном компьютере).Означает, что все вызовы, XHR или встроенный ресурс, указывающие на ваш экземпляр EC2, являются запросами, которые сгенерированы посетителями. Браузеры с сетью Источник их IP с источником происхождения«S3 или Если вы разместите CloudFront на S3, это будет CloudFront в качестве источника в заголовках HTTP), взаимодействующий с целевой точкой назначения EC2 (где ваш WebServer обслуживает порт 80 или 443). Нет никакого SG, который можно было бы применить к BucketОднако S3 Buckets можно настроить с помощью Политики для внесения в белый список определенных IP-адресов для доступа к Контенту Bucket, а затем к статическому веб-контенту, размещенному на нем. Вы также можете применить политику CORS и иметь условия для проверки Рефери и Происхождения.
Отмена политики уровня корзины, белого списка IP-адресов, ограничений CORS и условий Если вы обслуживаете свою корзину S3 Web из дистрибутива CloudFront, вы можете также применять правила ограничения GEOIP на уровне CloudFront.
Только вслучай, если сказать, как у вас есть APНа сервере EC2, который будет вызываться вашим доменом CloudFront, вы можете применить некоторый контроль доступа как на веб-уровне CloudFront, так и на веб-сайте EC2, чтобы обеспечить ужесточение политики CORS.Т.е. другие веб-сайты в Интернете не могут захватывать ваш API-сервис или выполнять CSRF-атаки (опять же, только для защиты на уровне браузера).