将 Amazon S3 网站终端节点限制为 CloudFront

【问题标题】:Restrict Amazon S3 website endpoint to CloudFront将 Amazon S3 网站终端节点限制为 CloudFront
【发布时间】:2019-09-06 17:15:30
【问题描述】:

是否可以将 Amazon S3 网站端点仅限于 CloudFront?我看到这对于 S3 休息端点是可能的,但想知道是否有任何新的解决方法可以为 S3 网站端点执行此操作。

【问题讨论】:

    标签: amazon-s3 amazon-cloudfront


    【解决方案1】:

    对于网站端点,您可以使用存储桶策略仅允许 CloudFront IP 地址,不像 OAI 那样限制,但仍然是一种方式。 http://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips

    对于作为源的 S3,不使用 CLOUDFRONT_REGIONAL_EDGE_IP_LIST IP 地址,除非您使用 lambda@edge 或 AWS 有意启用它,因此您只能允许 CLOUDFRONT_GLOBAL_IP_LIST。

    【讨论】:

    • 谢谢詹姆斯,所以对于网站端点,我需要将这些 IP 硬编码到存储桶策略中吗?它们经常变化吗?
    • 他们不会经常改变,但 AWS 一直在添加新的 IP 范围,他们有自动更新安全组的文档,同样你可以编写一个 lambda 代码来更新 Bucket 策略好吧,aws.amazon.com/blogs/security/…,遗憾的是 AWS 没有为它提供 webhook,所以 lambda 需要定期运行,而且要花一些钱。
    • @JamesDean 实际上 AWS 确实提供了一个 SNS 主题,您可以订阅 (Lambda),请参见此处:aws.amazon.com/blogs/security/…
    猜你喜欢
    • 1970-01-01
    • 2021-10-22
    • 2021-12-04
    • 2019-11-17
    • 1970-01-01
    • 2015-03-03
    • 1970-01-01
    • 1970-01-01
    • 2015-02-22
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode