gpt4 book ai didi

amazon-web-services - 通过 HTTP 从 Cloudfront 访问 Amazon S3

转载 作者:行者123 更新时间:2023-12-03 01:32:51 32 4
gpt4 key购买 nike

  • 我有一个 S3 存储桶,用作静态网站。
  • 我有一个 cloudfront 发行版,指向存储桶的 HTTP 端点。
  • 我希望仅限 Cloudfront 访问我的 S3 存储桶。

我想我可以通过添加主体来做到这一点:arn:iam:cloudfront ....

但这允许直接 S3 访问,而不是 HTTP 端点访问。

当我将 Cloudfront 配置为直接提供 S3 存储桶时,它不显示子目录index.htmls。为了访问 mysite.com/blog/,我必须输入 mysite.com/blog/index.html

因此,我必须使用 S3 的 HTTP 端点,就好像该站点不在 S3 上而是在 Apache 服务器上一样。

现在我无法通过 arn:iam:cloudfront 限制访问。由于 Cloudfront 成为另一个网络爬虫,S3 成为另一个网络服务器。

他们建议添加自定义 header ,以便服务器了解它是云端。但S3不支持自定义 header 。

将用户代理限制为 CloudFront,将主体限制为 AWS:* 可以起到短暂作用,但无法阻止 UserAgent 欺骗。

如何解决这个问题?

最佳答案

根本不要将源配置为 S3 - 将其配置为自定义源,然后使用存储桶的网站端点主机名作为源服务器主机名。

此时,您应该能够配置 Origin Custom Header CloudFront 将发送到源 - 这恰好是存储桶的网站端点。

User-Agent 不在 list of custom headers that CloudFront won't forward 上,因此您应该能够在从 CloudFront 到 S3 的请求中发送自定义用户代理字符串(其作用有点像静态密码),并将您的存储桶配置为仅允许该自定义用户代理。

理论上它仍然可以被欺骗,但由于它是您编写的随机字符串,因此除了您、S3 和 CloudFront 之外没有人知道该值,并且有人欺骗未知值将非常棘手,特别是自 S3 以来只是拒绝访问,没有任何解释。

关于amazon-web-services - 通过 HTTP 从 Cloudfront 访问 Amazon S3,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34681373/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com