Publicado en: Aug 25, 2022
Amazon CloudFront ahora ofrece Origin Access Control (OAC, control de acceso de origen), una nueva característica que ayuda a los clientes de CloudFront a proteger fácilmente sus orígenes de S3, ya que solo permite que las distribuciones de CloudFront designadas tengan acceso a sus buckets de S3. Ahora, los clientes pueden habilitar AWS Signature Version 4 (SigV4) en las solicitudes de CloudFront para los buckets de S3 con la posibilidad de definir si CloudFront debe firmar las solicitudes y cuándo debe hacerlo. Además, los clientes pueden utilizar SSE-KMS cuando realizan cargas y descargas a través de CloudFront.
Hasta ahora, los clientes estaban limitados al uso de la identidad de acceso de origen para restringir el acceso a sus orígenes de S3 a CloudFront. El control de acceso de origen mejora la identidad de acceso de origen porque refuerza la seguridad y afianza las integraciones de las características. El control de acceso de origen brinda una posición de seguridad más sólida con credenciales a corto plazo y rotaciones más frecuentes de las credenciales en comparación con la identidad de acceso de origen. Con el control de acceso de origen, los clientes pueden crear configuraciones de políticas minuciosas por medio de políticas basadas en recursos, lo que brinda una mejor protección contra los ataques de agentes confundidos. Los clientes pueden utilizar el control de acceso de origen para buscar y colocar los datos en los orígenes de S3 de las regiones que requieren SigV4. Además, el control de acceso de origen permite que los clientes utilicen SSE-KMS con sus orígenes de S3, lo cual no era posible con la identidad de acceso de origen.
CloudFront admite tanto el nuevo control de acceso de origen como la antigua identidad de acceso de origen. Si tiene una distribución configurada para utilizar la identidad de acceso de origen, puede migrar fácilmente la distribución al control de acceso de origen con tan solo unos clics. Cualquier distribución que utilice la identidad de acceso de origen continuará funcionando, y se podrá continuar utilizando la identidad de acceso de origen para las nuevas distribuciones. Consulte la documentación sobre la migración del acceso de origen en CloudFront para conocer las restricciones previstas en las regiones.
El control de acceso de origen de CloudFront ahora está disponible en todo el mundo, excepto por las regiones de AWS en China. Puede comenzar a utilizar el control de acceso de origen a través de la consola de CloudFront, las API, los SDK o la CLI. No se aplica ninguna tarifa adicional por el uso del control de acceso de origen. Para saber cómo se configura el control de acceso de origen, consulte la documentación del control de acceso de origen de CloudFront. Para comenzar a utilizar CloudFront, visite la página del producto CloudFront.