投稿日: Aug 25, 2022

Amazon CloudFront では、オリジンアクセスコントロールの提供を開始します。これは、指定の CloudFront ディストリビューションにのみ S3 バケットへのアクセスを許可することによって、CloudFront ユーザーが S3 オリジンを簡単に保護できるようにする新機能です。S3 バケットへの CloudFront のリクエストで AWS Signature Version 4 (SigV4) を有効にして、CloudFront がリクエストに署名するタイミングと場合を設定できるようになりました。また、CloudFront を介してアップロードとダウンロードを実行する際、SSE-KMS を使用できるようになりました。

これまでは、オリジンアクセスアイデンティティを使用して、S3 オリジンへのアクセスを CloudFront に制限することに限定されていました。オリジンアクセスコントロールはセキュリティを強化し、機能の統合を深めることで、オリジンアクセスアイデンティティを改善します。オリジンアクセスアイデンティティと比較して、オリジンアクセスコントロールは短時間のみ有効な認証情報およびより頻度の高い認証のローテーションによって、セキュリティ体制をより強化します。オリジンアクセスコントロールで、リソースベースのポリシーによってきめ細かなポリシーを設定でき、混乱した代理の攻撃に対するより強い保護が提供されます。オリジンアクセスコントロールを使用してデータを取得し、SigV4 を必要とするリージョンの S3 オリジンに格納できます。また、オリジンアクセスコントロールによって S3 オリジンの SSE-KMS を使用できます。オリジンアクセスアイデンティティでは、これはできませんでした。

CloudFront は新しいオリジンアクセスコントロールとこれまでのオリジンアクセスアイデンティティの両方をサポートします。オリジンアクセスアイデンティティを使用するよう設定されている配信がある場合、ほんの数クリックで簡単にオリジンアクセスコントロールに配信を移行できます。オリジンアクセスアイデンティティを使用する配信は引き続き機能し、新しい配信にオリジンアクセスアイデンティティを従来どおり使用できます。近日発表されるリージョンの制限については、アクセス移行のドキュメントをご覧ください。

現在、CloudFront オリジンアクセスコントロールは AWS 中国リージョンを除く世界中で利用可能です。オリジンアクセスコントロールは CloudFront コンソール、API、SDK、CLI から使用を開始できます。オリジンアクセスコントロールの使用にあたり追加料金はかかりません。オリジンアクセスコントロールの設定方法については、CloudFront オリジンアクセスコントロールのドキュメントをご覧ください。CloudFront の使用を開始するには、CloudFront の製品ページをご覧ください。