Exibição de site do Cloudfront e do S3 sem intervalo público

3

Ao veicular um site via CloudFront a partir de um bucket do S3, eu normalmente aplicaria a seguinte política de buckets para permitir o acesso aos meus arquivos:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Public Access to All Objects",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::somewhere.example.com/*"
        }
    ]
}

Mas a Amazon recentemente começou a mostrar essa mensagem (ênfase em negrito minha):

We highly recommend that you never grant any kind of public access to your S3 bucket.

A documentação da AWS é muito inconsistente com este conselho, sugerindo que apenas o acesso de gravação é um problema. Estou servindo um site, então, obviamente, estou muito feliz em dar acesso público aos arquivos, principalmente porque as listagens de diretórios ainda não são permitidas.

A partir de novembro de 2017, qual é a maneira recomendada de conectar o CloudFront a um bucket S3, sem dar acesso público?

    
por Steve 28.11.2017 / 12:37

1 resposta

1

Você desejará configurar o Origin Access Identity. Isso permite que você mantenha seu bucket privado e permita acesso somente através do CloudFront. Isso é muito fácil de configurar. Eu incluí um link para orientá-lo através dos passos e para ajudá-lo a entender tudo. Depois de configurar o OAI, exclua a política do seu bucket do S3. Seu bucket do S3 é privado e apenas fornece acesso aos usuários através do CloudFront.

Usando uma identidade de acesso do Origin para restringir o acesso a Seu conteúdo do Amazon S3

Typically, if you're using an Amazon S3 bucket as the origin for a CloudFront distribution, you grant everyone permission to read the objects in your bucket. This allows anyone to access your objects either through CloudFront or using the Amazon S3 URL. CloudFront doesn't expose Amazon S3 URLs, but your users might have those URLs if your application serves any objects directly from Amazon S3 or if anyone gives out direct links to specific objects in Amazon S3.

    
por 28.11.2017 / 21:23