如何创建开发和生产 Cloudfront 密钥对？

Question

我正在开发一个使用 Amazon S3 存储敏感用户媒体的系统，用户可以通过 Cloudfront 分发访问这些媒体。我正在使用 Cloudfront's query parameter authentication 锁定公共访问权限，以便我们使用 Cloudfront 私钥创建安全字符串。此身份验证字符串可以附加到 Cloudfront URL 以仅允许访问适当的 S3 资源。

但是，对于在我的团队中分发此私钥以进行开发的最佳方式，我有点困惑。通常，我们会有一个仅适用于我们的生产发行版的秘密生产密钥和一个适用于我们的暂存发行版的秘密开发密钥。

但是，Cloudfront 文档指出密钥对 can only be created by the root AWS user，最多允许 2 个密钥（用于密钥轮换）。同时，文档表明您可以specify different accounts as trusted signers 并将它们限制在特定的发行版中。如果这是真的，我相信我可以锁定特定用户创建的密钥的特定分发。

谁能帮我理解：

1. 如果 root 用户实际上是唯一可以创建云端密钥对的用户？ （也许通过Organizations，我可以创建其他非IAM、root-like用户？）
2. 我们如何创建只允许访问我们的开发发行版的开发密钥对？

感谢您的帮助！

Answer 1

我能够通过执行以下操作来完成这项工作：

1. 我在我的组织中以主 root 用户created another non-IAM account。
2. 我从那里登录到此帐户以生成并下载新的 Cloudfront 密钥对。
3. 为确保这个新密钥对只能用于我想要的 Cloudfront 发行版，我对每个发行版都执行了以下操作：
   1. 访问了行为标签 > 编辑
   2. 在受信任的签名者下选中指定帐户
   3. 仅将我希望允许访问的根用户的帐号输入到 AWS 帐号"

我希望这可以为其他人清除这个过程！