Как ограничить доступ через URL CloudFront

Question

У меня есть статистика c, размещенная на AWS S3, как я могу заблокировать доступ через URL-адрес CloudFront и предоставить доступ только через S3 URL

Answer 1

Чтобы разрешить доступ к веб-сайту stati c только через облачный фронт, вы можете использовать эту политику.

{
 "Version": "2008-10-17",
 "Statement": [
     {
         "Sid": "3",
         "Effect": "Allow",
         "Principal": {
             "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity [OriginAccessIdentity id]"
         },
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::[bucket]/*"
     }
 ]
}

Я думаю, что если вы измените его на Deny, он должен делать то, что вы хотите.

{
 "Version": "2008-10-17",
 "Statement": [
     {
         "Sid": "3",
         "Effect": "Deny",
         "Principal": {
             "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity [OriginAccessIdentity id]"
         },
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::[bucket]/*"
     }
 ]
}

Пожалуйста, замените [OriginAccessIdentity id] идентификатором источника происхождения, указав c для вашего дистрибутива.

Надеюсь, это поможет.

Ссылки:

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html (как @John Rotenstein в разделе комментариев)

Answer 2

Это странное требование, так как для обеспечения безопасности вы можете заблокировать доступ к S3 и разрешить доступ только к облачному фронту. Но у вас могут быть некоторые причины для этого.

Вы можете использовать функцию белого / черного списка облачного фронта, чтобы разрешить или заблокировать определенные IP-адреса. Вы можете предоставить подписанные URL-адреса для предоставления доступа к S3.