Veröffentlicht am: Aug 25, 2022
Amazon-CloudFront bietet jetzt Origin-Access-Control an, eine neue Funktion, die es CloudFront-Kunden ermöglicht, ihre S3-Ursprünge auf einfache Weise zu sichern, indem sie nur bestimmten CloudFront-Distributionen den Zugriff auf ihre S3-Buckets gestatten. Kunden können jetzt AWS-Signature-Version 4 (SigV4) auf CloudFront-Anfragen an S3-Buckets aktivieren, mit der Möglichkeit, zu bestimmen, wann und ob CloudFront Anfragen unterzeichnen soll. Zusätzlich können Kunden jetzt SSE-KMS benutzen, wenn sie in CloudFront Uploads oder Downloads durchführen.
Bisher waren Kunden darauf beschränkt Origin-Access-Identity zu benutzen, um den Zugriff zu ihren S3-Ursprüngen auf CloudFront zu beschränken. Origin-Access-Control ist besser als Origin-Access-Identity, da die Sicherheit erhöht und die Integrationen von Funktionen erweitert wurden. Im Verhältnis zu Origin-Access-Identity bietet Origin-Access-Control einen erhöhten Sicherheitsstatus mit zeitlich begrenzten Anmeldeinformationen und häufigeren Rotationen von Anmeldeinformationen. Mit Origin-Access-Control können Kunden granulare Richtlinienkonfigurationen durch ressourcenbasierte Richtlinien erstellen. Dies bietet einen größeren Schutz gegen Confused-Deputy-Angriffe. Kunden in Regionen, die SigV4 benötigen, können Origin-Access-Control nutzen, um Daten aus S3-Ursprüngen zu erfassen und einzuspeisen. Zusätzlich erlaubt Origin-Access-Control es dem Kunden, SSE-KMS mit ihren S3-Ursprüngen zu benutzen, was mit Origin-Access-Identity nicht möglich war.
CloudFront unterstützt sowohl das neue Origin-Access-Control, als auch die ältere Version von Origin-Access-Identity. Wenn du eine Distribution für die Verwendung von Origin-Access-Identity konfiguriert hast, kannst du die Distribution mit ein paar einfachen Klicks zu Origin-Access-Control migrieren. Jede Distribution, die Origin-Access-Identity verwendet, wird auch weiterhin funktionieren und man kann nach wie vor Origin-Access-Identity für neue Distributionen verwenden. Informationen über die kommenden Regionenbeschränkungen findest du in der CloudFront Origin-Access-Migration-Dokumentation.
CloudFront Origin-Access-Control ist nun auch weltweit, mit Ausnahme der AWS China Regionen, erhältlich. Über die CloudFront Konsole, APIs, SDK oder CLI, kannst du damit beginnen Origin-Access-Control zu verwenden. Es fallen keine zusätzlichen Gebühren für die Nutzung von Origin-Access-Control an. Informationen darüber, wie man Origin-Access-Control konfiguriert, findest du in der CloudFront Origin-Access-Control-Dokumentation. Auf der CloudFront-Produktseite erfährst du mehr über die ersten Schritte mit CloudFront.