使用自定义标头将 CloudFront 限制为特定 IP 范围的 S3 静态网站

Question

我想将网站部署到 S3 存储桶并使用静态网站托管。但是，我有一些严格的安全限制：

1. 必须使用HTTPS
2. 对网站的访问必须限制在特定的 IP 范围内

这是我的计划：

• 使用 AWS WAF 限制可以访问网站的 IP
• 使用 CloudFront 来利用 HTTPS
• 格式化 CloudFront 分配以转发一个自定义标头，该标头将充当 S3 的访问密钥
• 将 S3 存储桶安全策略限制为仅允许包含来自上述 CloudFront 的自定义标头的流量。

这是一个图表：

但我有一个大问题：在 CloudFront 之间转发自定义标头真的是最好的方法吗？ AWS 文档说原始访问身份不能用于充当网站的 S3 存储桶 (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。自定义标头似乎不如原始访问身份安全，并且更难维护。使用随机字符串作为防止有人绕过我的 CloudFront 分配并直接访问 S3 存储桶的唯一安全措施让我感到不舒服。如果恶意方猜到了

我的另一个选择是硬着头皮转移到我可以更好地控制大量安全性的服务器，但我想利用 S3 网站的便利性。

Answer 1

您不能在 S3 上使用任何自定义标头，仅允许使用某些标头，例如：Referer、User-Agent 等。 最好的方法是使用带有 S3 Rest API 端点的 OAI，而不是网站端点。

但是，您可以为网站端点选择替代方法： 1. 允许 CloudFront IP 范围访问 S3 存储桶。

http://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips

与 2. 在 CloudFront 源配置中添加 Origin 客户标头，例如“Referer：一些随机值”，并创建存储桶策略以允许在 Referer 标头中使用该特定值。

Answer 2

您应该从 S3 存储桶中删除网站配置并使用源访问身份。其余的设置都很好。

您无需将 S3 存储桶配置为网站端点，因为您不会直接通过 S3 提供内容。使用原始访问身份，您的存储桶将只能从 CloudFront 获得（除非您在存储桶策略中添加其他内容），这就是您想要的。

另见https://medium.com/@sanamsoodan/host-a-website-using-aws-cloudfront-origin-access-identity-s3-without-static-website-hosting-43995ae2a9bd

Answer 3

• 使用 AWS WAF 来限制对一组 IP 的访问似乎是要走的路。
• 使用 Cloudfront，您还可以提供私有内容。存储桶不必是公开的。 Allow access to an Amazon S3 bucket only from a CloudFront distribution 使用这种方法，您不需要单独的存储桶策略来限制 IP 地址