Взаимосвязь между идентификаторами доступа и идентификаторами доступа CloudFront

Question

Итак, я следил за руководствами на CloudFront и S3, и я чувствую, что Im по-прежнему не хватает основной информации в отношениях между Origin Access Identities и CloudFront Signed URL.

Что я хочу: Частный CDN для размещения аудио фрагментов (несколько секунд в длину) и изображений с низким разрешением. Я хочу, чтобы эти файлы были доступны по запросу из определенного домена (домена, на котором будет работать webapp) и, возможно, сервера тестирования. Так что мой веб-приложение может получить файлы, но человек просто не может получить доступ к ним без прохождения через веб-приложение

Что Im путается: Я нечеткий на отношениях (если таковой имеется) между CloudFront Origin доступом идентичностями и Signed CloudFront Urls.

В настоящее время я создал частный S3, OAI для моего облачного распределения и создал сгенерированный URL-адрес изображения через облачный интерфейс. Но я не вижу, как эти вещи связаны друг с другом и как они препятствуют доступу других пользователей к файлам CDN (если они смогли выполнить проверку и элемент и получить подписанный URL-адрес).

Следует ли исправить срок действия подписанного URL-адреса? И если да, то как OAI играет в этом роль? Это что-то сделано в CORS?

Answer 1

Добавить новую запись CNAME, которая указывает на ваш домен CloudFront. Эта запись должна соответствовать той, которая введена в «Альтернативные имена доменов» из консоли CloudFront.

По умолчанию CloudFront генерировать имя домена автоматически (например, d3i29vunzqzxrt.cloudfront.net), но вы можете определить альтернативное доменное имя.

Также вы можете защитить CloudFront Serving Private Content through CloudFront

Answer 2

Идентичность доступа происхождения является объектом внутри CloudFront, что может быть санкционирован ковшом политикой доступа к объектам в ведре. Когда CloudFront использует идентификатор доступа источника для доступа к содержимому в ведре, CloudFront использует учетные данные OAI для генерации подписанного запроса, который он отправляет в ведро для извлечения содержимого. Эта подпись недоступна для зрителя.

Значение слова «происхождение», используемое здесь, не следует путать со словом «происхождение», которое используется в других контекстах, таких как CORS, где «происхождение» относится к сайту, которому разрешен доступ к контенту ,

Идентификатор доступа источника не имеет никакого отношения к ограничению доступа к запросам, содержащим конкретный заголовок или Referer.

Как только подписанный URL-адрес подтвержден CloudFront в соответствии с ключом подписи CloudFront, связанным с вашей учетной записью AWS (или другой учетной записью, которую вы назначаете как доверенный подписчик), объект извлекается из ведра с использованием любых разрешений, личность была предоставлена ​​в ведре.

Следует ли считать, что срок действия подписанного срока истекает быстро?

По существу, да.

Аутентификация и авторизация запросов путем ограничения доступа на основе сайта, на котором была найдена ссылка, составляет не жизнеспособной меры безопасности. Он предотвращает горячую связь с других сайтов, но не защищает всех, кто может подделывать заголовки запросов. Преодоление такой меры тривиально.

Подписанные URL-адреса, напротив, чрезвычайно устойчивы к ошибкам в отношении вычислительной неосуществимости.

Подписанный URL не только действителен только до истечения срока его действия, но также может также ограничивать доступ к лицу, имеющему тот же IP-адрес, который включен в документ политики, если вы используете custom policy. После подписания любое изменение URL-адреса, включая заявление о политике, делает весь URL непригодным для использования.

OAI только косвенно связан с подписанными URL-адресами CloudFront - их можно использовать индивидуально или вместе, но без OAI CloudFront не может доказать, что разрешено запрашивать объекты из вашего ведра, поэтому ведро должно быть общедоступным, что приведет к потере большей части целей подписанных URL-адресов на CloudFront.