发布于: Aug 25, 2022
Amazon CloudFront 现已提供来源访问控制,这是一项新功能,使 CloudFront 客户能够通过仅允许指定的 CloudFront 发行版访问其 S3 桶来轻松保护其 S3 来源。客户现在可以通过 CloudFront 请求对 S3 桶启用 AWS 签名版本 4 (SigV4),并能够设置 CloudFront 何时以及是否应该签署请求。此外,客户现在还可以在通过 CloudFront 进行上传和下载时使用 SSE-KMS。
之前,客户只能使用来源访问身份来仅允许 CloudFront 访问其 S3 来源。来源访问控制基于来源访问身份有所改进,加强了安全性并深化了功能集成。与来源访问身份相比,来源访问控制通过使用短期凭证和更频繁地轮换凭证改善了安全状况。借助来源访问控制,客户可以通过基于资源的策略创建精细策略配置,从而更好地防止混淆代理攻击。在需要 SigV4 的区域中,客户可以使用来源访问控制获取数据并将数据放入 S3 源中。此外,来源访问控制还使客户能够对其 S3 源使用 SSE-KMS,这是使用来源访问身份无法实现的。
CloudFront 既支持新的来源访问控制,又支持旧的来源访问身份。如果您的发行版是为使用来源访问身份而配置的,那么您只需单击几下鼠标,即可轻松将该发行版迁移到来源访问控制。所有使用来源访问身份的发行版都将继续正常运行,而且您可以继续对新的发行版使用来源访问身份。请参阅 CloudFront 来源访问迁移文档,了解即将发布的区域限制。
CloudFront 来源访问控制现已在全球推出,AWS 中国区域除外。您可以通过 CloudFront 控制台、API、SDK 或 CLI 开始使用来源访问控制。使用来源访问控制不会产生额外费用。要了解如何配置来源访问控制,请参阅 CloudFront 来源访问控制文档。要开始使用 CloudFront,请访问 CloudFront 产品页面。