Comment utiliser ma distribution CloudFront pour restreindre l'accès à un compartiment Amazon S3 ?

Dernière mise à jour : 15/09/2021

Important : avant de commencer, assurez-vous que l'origine Amazon S3 de votre distribution CloudFront est configurée comme point de terminaison API REST (AWSDOC-EXAMPLE-BUCKET.s3.amazonaws.com). Cette solution ne s'applique pas aux origines S3 configurées en tant que point de terminaison de site Web (AWSDOC-EXAMPLE-BUCKET.s3-website-us-east-1.amazonaws.com).

Créer une identité d'accès d'origine (OAI) CloudFront

1.    Ouvrez la console CloudFront.

2.    Dans la liste des distributions, choisissez la distribution qui diffuse le contenu à partir du compartiment S3 auquel vous souhaitez restreindre l'accès.

3.    Choisissez l'onglet Origines.

4.    Sélectionnez l'origine S3, puis Modifier.

5.    Pour Accès au compartiment S3, sélectionnez Oui, utiliser l'identité OAI (le compartiment peut restreindre l'accès à CloudFront uniquement).

6.    Pour l’identité d’accès à l’origine, sélectionnez une identité existante dans la liste déroulante ou choisissez Créer une nouvelle identité OAI.

7.    Pour Stratégie de compartiment, sélectionnez Oui, mettre à jour la politique de compartiment.
Remarque : Cette étape met à jour la stratégie de compartiment de votre origine S3 pour accorder l'accès OAI pour s3:GetObject.

8.    Choisissez Save Changes (Enregistrer les modifications).

Vérifier la stratégie de compartiment

1.    Ouvrez la console Amazon S3.

2.    Dans votre liste de compartiments, choisissez le compartiment qui est l'origine de la distribution CloudFront.

3.    Sélectionnez l'onglet Permissions (Autorisations).

4.    Sous Politique de compartiment, confirmez que vous voyez une instruction similaire à ce qui suit :

{
 "Sid": "1",
 "Effect": "Allow",
 "Principal": {
  "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EAF5XXXXXXXXX"
  },
 "Action": "s3:GetObject",
 "Resource": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"
}

Il s'agit de l'instruction que CloudFront ajoute à votre stratégie de compartiment lorsque vous sélectionnez Oui, mettre à jour la politique de compartiment dans le cadre de la configuration OAI.

5.    Vérifiez que votre stratégie de compartiment contient des instructions indiquant "Effect": "Deny" qui empêchent l'accès au compartiment à partir de l'OAI CloudFront. Modifiez ces instructions afin que l'OAI CloudFront puisse accéder aux objets du compartiment.

6.    Vérifiez que votre stratégie de compartiment contient des instructions indiquant "Effect": "Allow" qui autorisent l'accès au compartiment à partir de n'importe quelle source qui n'est pas l'OAI CloudFront. Modifiez ces instructions comme requis par votre cas d'utilisation.

Remarque : Si vous utilisez des listes de contrôle d'accès d'objets (ACL d'objets) pour gérer les autorisations, vous devez alors aussi vérifier les listes ACL d'objets pour vous assurer que ces fichiers ne sont pas accessibles en dehors de l'OAI CloudFront.

Remarque : Une fois que vous avez restreint l'accès à votre compartiment en utilisant l'OAI CloudFront, vous pouvez éventuellement renforcer la sécurité en intégrant AWS WAF.