如何以最佳方式限制 CloudFront 和 S3 访问
How to restrict CloudFront and S3 access the best way
我不确定 Whosebug 是否适合此类问题,但我想尝试一下。如有不妥,请关闭此问题。
所以,这是我的场景:
我正在为 Android 和 iOS 构建一个移动应用程序,并为应用程序应该使用的文件内容提供大型 CDN 后端。
现在,我启动了一个 S3 存储桶并拒绝了所有 public 访问。此外,我还带来了一个可以访问此存储桶的云端分发版,以便使用边缘并将我的内容限制在某些国家/地区。
但是,我只需要对将要部署的应用程序具有读取权限。
现在我的问题是:
- 最佳做法是提供某种访问令牌以确保只有应用程序可以读取访问内容吗?此令牌可以编码到应用程序中,并且将禁止来自此应用程序外部的所有流量
感谢任何建议。
我认为签名 url 可以提供相同的帮助。请参考以下来自 AWS 的文档。
CloudFront 使用 public 密钥验证签名并确认 URL 未被篡改。如果签名无效,请求将被拒绝。
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html
我不确定 Whosebug 是否适合此类问题,但我想尝试一下。如有不妥,请关闭此问题。
所以,这是我的场景:
我正在为 Android 和 iOS 构建一个移动应用程序,并为应用程序应该使用的文件内容提供大型 CDN 后端。 现在,我启动了一个 S3 存储桶并拒绝了所有 public 访问。此外,我还带来了一个可以访问此存储桶的云端分发版,以便使用边缘并将我的内容限制在某些国家/地区。 但是,我只需要对将要部署的应用程序具有读取权限。
现在我的问题是:
- 最佳做法是提供某种访问令牌以确保只有应用程序可以读取访问内容吗?此令牌可以编码到应用程序中,并且将禁止来自此应用程序外部的所有流量
感谢任何建议。
我认为签名 url 可以提供相同的帮助。请参考以下来自 AWS 的文档。
CloudFront 使用 public 密钥验证签名并确认 URL 未被篡改。如果签名无效,请求将被拒绝。
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html