- 기본적으로 모든 S3 버킷 및 개체는 사적인. 개체 소유자에게만 이러한 개체에 액세스할 수 있는 권한이 있습니다. 미리 서명된 URL은 소유자의 보안 자격 증명을 사용하여 다른 사람에게 개체를 다운로드하거나 업로드할 수 있는 시간 제한 권한을 부여합니다.
-
- 사전 서명된 URL을 생성할 때는 소유자로서 다음을 제공해야 합니다.
-
-
- HTTP 메서드 지정(객체를 다운로드하려면 GET, 객체를 업로드하려면 PUT)
|
- 두 가지 방법으로 개인 콘텐츠에 대한 사용자 액세스를 제어할 수 있습니다.
-
- CloudFront Edge 캐시에 있는 파일에 대한 액세스 제한
-
-
- Amazon S3 버킷의 파일에 대한 액세스 제한(웹 사이트 엔드포인트로 구성하지 않은 경우)
-
- 사용자가 다음 중 하나를 사용하여 파일에 액세스하도록 CloudFront를 구성할 수 있습니다. 서명된 URL 또는 사인 쿠키. 그런 다음 응용 프로그램을 개발하여 인증된 사용자에게 서명된 URL을 생성하고 배포하거나 전송합니다. 세트쿠키 인증된 사용자를 위해 뷰어에 서명된 쿠키를 설정하는 헤더입니다.
-
- 파일에 대한 액세스를 제어하기 위해 서명된 URL 또는 서명된 쿠키를 만들 때 다음 제한 사항을 지정할 수 있습니다.
-
-
- (선택사항) URL이 유효하게 되는 날짜와 시간
-
-
- (선택사항) 콘텐츠에 액세스하는 데 사용할 수 있는 컴퓨터의 IP 주소 또는 주소 범위
-
- 원본이 Amazon S3 버킷인지 HTTP 서버인지에 관계없이 서명된 URL 또는 서명된 쿠키를 CloudFront 배포에 사용할 수 있습니다.
|
- S3 버킷을 CloudFront 배포판의 원본으로 구성할 수 있습니다. OAI는 단순히 파일의 직접 URL을 사용하여 사용자가 S3 파일을 볼 수 없도록 합니다. 대신 CloudFront URL을 통해 액세스해야 합니다.
-
- 사용자가 CloudFront URL을 통해 콘텐츠에 액세스하도록 하려면 다음 작업을 수행합니다.
-
- 다음과 같은 특별한 CloudFront 사용자를 만듭니다. 오리진 액세스 ID.
-
-
- 버킷의 파일을 읽을 수 있는 오리진 액세스 ID 권한을 부여합니다.
-
-
- 다른 사용자가 Amazon S3 URL을 사용하여 (버킷 정책 또는 ACL을 통해) 파일을 읽을 수 있는 권한을 제거합니다.
-
- S3 버킷이 웹 사이트 엔드포인트로 구성된 경우 OAI를 설정할 수 없습니다.
|
- Amazon S3 오리진에 대한 액세스를 제한하는 더 선호되는 방법(OAI와 비교)
- CloudFront 고객은 지정된 CloudFront 배포판만 Amazon S3 버킷에 액세스할 수 있으므로 Amazon S3 오리진을 쉽게 보호할 수 있습니다.
- 아마존 서비스 CloudFront가 요청에 서명해야 하는지 여부와 특정 요청에 서명할 시기를 설정할 수 있는 기능을 통해 AWS Signature Version 4(SigV4)를 Amazon CloudFront 요청에서 활성화할 수 있습니다.
- 아마존 클라우드프론트 배포판을 통해 업로드 및 다운로드를 수행할 때 AWS KMS 키를 사용한 서버측 암호화(SSE-KMS)도 활성화할 수 있습니다.
|