Как скрыть URL-адрес AWS S3 Bucket с помощью пользовательского CNAME

Question

Я хочу подключить CDN к корзине AWS S3, но документ AWS указывает, что имя корзины должно совпадать с CNAME.Следовательно, очень легко угадать реальный URL-адрес корзины s3.

Например,

- My domain: example.com  
- My S3 Bucket name: image.example.com  
- My CDN CNAME(image.example.com) will point to image.example.com.s3.amazonaws.com

После этого люди могут получить доступ к URL CDN -> http://image.example.com, чтобы получить ресурсы из моего S3 Bucket.Однако в соответствии с этим ограничением люди могут легко угадать мой настоящий URL-адрес корзины S3 из CNAME (CNAME + s3.amazonaws.com).

Итак, мой вопрос в том, как мне спрятать мой настоящий URL-адрес корзины s3?Потому что я не хочу раскрывать свой реальный URL S3 кому-либо для предотвращения любых атак

Answer 1

Я не уверен, что понимаю, о чем вы просите или что вы пытаетесь сделать [скрытие вашего ведра на самом деле ничего не помогает], однако я попытаюсь ответить на ваш вопрос относительно «сокрытия» вашего имени ведра.Прежде чем спросить, я хотел бы задать эти два вопроса:

• Почему вы хотите скрыть свой URL-адрес корзины s3?
• Какие атаки вы пытаетесь предотвратить?

Вы правы, что имя корзины s3 имело , которое совпадает с вашим URL.Это больше не требование, поскольку вы можете замаскировать ведро s3, используя cloudfront .CloudFront, как вы знаете, является CDN от AWS.Таким образом, имя корзины может быть любым (randomstring).

Вы можете ограничить доступ к корзине так, чтобы только CloudFront мог получить к ней доступ.Данные в корзине затем реплицируются в периферийные местоположения и подаются оттуда.Даже если кто-то знает URL-адрес s3, он ничего не сделает, так как доступ к корзине s3 ограничен, правило IAM предоставляет доступ к CloudFront, и никто другой.

Ограничение доступа осуществляется через исходный доступ, и хотя вы можетеНастройте это вручную с помощью политики корзины, вы также можете установить флаг в CloudFront, чтобы сделать это от вашего имени.Более подробная информация доступна здесь .

Используйте имя CloudFront в Route53.Не используйте CNAME, а используйте тип A и установите его в качестве псевдонима.Дополнительную информацию см. В этом документе .

Если вы используете другого поставщика DNS, псевдонимы AWS, естественно, будут недоступны.Я предлагаю перенести файл зоны из вашего другого провайдера в AWS.Если вы не можете сделать это, вы все равно можете использовать CNAME.Снова см. здесь для получения дополнительной информации.

Я предлагаю использовать ваше собственное доменное имя для CloudFront и настроить HTTPS.AWS предлагает сертификаты без дополнительной платы за услуги в рамках AWS.Вы можете зарегистрировать сертификат для вашего доменного имени, который подтверждается записью DNS или электронной почтой.Чтобы настроить это, см. Этот документ .

Если вы хотите ограничить доступ к определенным файлам в AWS, вы можете использовать подписанные URL-адреса.Более подробная информация об этом предоставлена ​​ здесь .