gpt4 book ai didi

amazon-web-services - 使用自定义 header 将 CloudFront 限制为特定 IP 范围的 S3 静态网站

转载 作者:行者123 更新时间:2023-12-04 12:42:58 24 4
gpt4 key购买 nike

我想将网站部署到 S3 存储桶并使用静态网站托管。但是,我有一些严格的安全限制:

  1. 必须使用 HTTPS
  2. 对网站的访问必须限制在特定的 IP 范围内

这是我的计划:

  • 使用AWS WAF限制可以访问网站的IP
  • 使用 CloudFront 以利用 HTTPS
  • 格式化 CloudFront 分配以转发自定义 header ,该 header 将作为 S3 的访问 key
  • 将 S3 存储桶安全策略限制为仅允许包含来自上述 CloudFront 的自定义 header 的流量。

这是一个图表:

enter image description here

但我有一个大问题:在 CloudFront 之间转发自定义 header 真的是最好的方法吗? AWS 文档说源访问身份不能用于充当网站的 S3 存储桶 (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。自定义 header 似乎不如 Origin Access Identity 安全,并且更难维护。使用随机字符串作为防止某人绕过我的 CloudFront 分配并直接访问 S3 存储桶的唯一安全措施让我感到不舒服。如果有恶意的一方猜测了

我的另一个选择是硬着头皮转移到服务器,在那里我可以更好地控制很多安全性,但我想利用 S3 网站的便利性。

最佳答案

您应该从 S3 存储桶中删除网站配置并使用 Origin Access Identity。您的其余设置没问题。

您不需要将 S3 存储桶配置为网站端点,因为您不会直接通过 S3 提供您的内容。使用 Origin Access Identity,您的存储桶将只能从 CloudFront 获得(除非您在存储桶策略中添加其他内容),这就是您想要的。

另见 https://medium.com/@sanamsoodan/host-a-website-using-aws-cloudfront-origin-access-identity-s3-without-static-website-hosting-43995ae2a9bd

关于amazon-web-services - 使用自定义 header 将 CloudFront 限制为特定 IP 范围的 S3 静态网站,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55795497/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com