#amazon-s3 #amazon-cloudfront
#amazon-s3 #amazon-cloudfront
Вопрос:
Можно ли ограничить конечную точку веб-сайта Amazon S3 только CloudFront? Я вижу, что это возможно для конечных точек отдыха S3, но мне было интересно, есть ли какие-либо новые обходные пути для этого для конечных точек веб-сайта S3.
Ответ №1:
Для конечной точки веб-сайта вы можете использовать политику корзины, чтобы разрешить только IP-адрес CloudFront, не ограничительный, как OAI, но все же способ. http://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips
Для S3 в качестве источника IP-адрес CLOUDFRONT_REGIONAL_EDGE_IP_LIST не используется, если вы не используете lambda @edge или AWS не включил его намеренно, чтобы разрешить только CLOUDFRONT_GLOBAL_IP_LIST.
Комментарии:
1. Спасибо, Джеймс, итак, для конечной точки веб-сайта мне нужно будет жестко прописать эти IP-адреса в политике корзины? Часто ли они меняются?
2. Они меняются не так часто, но AWS постоянно добавляет новый диапазон IP-адресов, у них есть документ s, который автоматически обновляет группу безопасности, аналогичным образом вы можете написать лямбда-код для обновления политики корзины, aws.amazon.com/blogs/security / … , к сожалению, AWS не предоставляет для этого webhook, поэтому лямбда-код должензапускайте периодически, и это стоит некоторых денег.
3. @JamesDean на самом деле AWS предоставляет раздел SNS, на который вы можете подписаться (Lambda), см. Здесь: aws.amazon.com/blogs/security /…