Eu acredito que o CloudFront usa uma rede privada da AWS para se conectar ao S3, então os riscos são relativamente baixos. Gostaria de garantir que você bloqueie o acesso público a buckets e use uma identidade de acesso de origem, e isso provavelmente garantirá que a segurança seja adequada.
Não vejo como um ataque MITM poderia ser feito aqui, mas também digo que essa não é uma área em que eu tenha muita experiência. Interessado em outras opiniões.
Esta página confirma que o https não é compatível com endpoints de sites.