본문 바로가기

IT

S3 사전 서명된 URL vs CloudFront 서명된 URL vs OAI(Origin Access Identity) vs OAC(Origin Access Control)

S3 사전 서명된 URL CloudFront 서명된 URL OAI(Origin Access Identity) 출발지 접근 제어(OAC)
    • 기본적으로 모든 S3 버킷 및 개체는 사적인. 개체 소유자에게만 이러한 개체에 액세스할 수 있는 권한이 있습니다. 미리 서명된 URL은 소유자의 보안 자격 증명을 사용하여 다른 사람에게 개체를 다운로드하거나 업로드할 수 있는 시간 제한 권한을 부여합니다.


    •  
    • 사전 서명된 URL을 생성할 때는 소유자로서 다음을 제공해야 합니다.


      • 보안 자격 증명


      •  
      • S3 버킷 이름


      •  
      • 개체 키


      •  
      • HTTP 메서드 지정(객체를 다운로드하려면 GET, 객체를 업로드하려면 PUT)


    •  
    • URL의 만료 날짜 및 시간.
    • 두 가지 방법으로 개인 콘텐츠에 대한 사용자 액세스를 제어할 수 있습니다.


      • CloudFront Edge 캐시에 있는 파일에 대한 액세스 제한


      •  
      • Amazon S3 버킷의 파일에 대한 액세스 제한(웹 사이트 엔드포인트로 구성하지 않은 경우)


      •  
    • 사용자가 다음 중 하나를 사용하여 파일에 액세스하도록 CloudFront를 구성할 수 있습니다. 서명된 URL 또는 사인 쿠키. 그런 다음 응용 프로그램을 개발하여 인증된 사용자에게 서명된 URL을 생성하고 배포하거나 전송합니다. 세트쿠키 인증된 사용자를 위해 뷰어에 서명된 쿠키를 설정하는 헤더입니다.


    •  
    • 파일에 대한 액세스를 제어하기 위해 서명된 URL 또는 서명된 쿠키를 만들 때 다음 제한 사항을 지정할 수 있습니다.


      • URL 만료 날짜 및 시간


      •  
      • (선택사항) URL이 유효하게 되는 날짜와 시간


      •  
      • (선택사항) 콘텐츠에 액세스하는 데 사용할 수 있는 컴퓨터의 IP 주소 또는 주소 범위


    •  
  • 원본이 Amazon S3 버킷인지 HTTP 서버인지에 관계없이 서명된 URL 또는 서명된 쿠키를 CloudFront 배포에 사용할 수 있습니다.
    • S3 버킷을 CloudFront 배포판의 원본으로 구성할 수 있습니다. OAI는 단순히 파일의 직접 URL을 사용하여 사용자가 S3 파일을 볼 수 없도록 합니다. 대신 CloudFront URL을 통해 액세스해야 합니다.


    •  
    • 사용자가 CloudFront URL을 통해 콘텐츠에 액세스하도록 하려면 다음 작업을 수행합니다.


      • 다음과 같은 특별한 CloudFront 사용자를 만듭니다. 오리진 액세스 ID.


      •  
      • 버킷의 파일을 읽을 수 있는 오리진 액세스 ID 권한을 부여합니다.


      •  
      • 다른 사용자가 Amazon S3 URL을 사용하여 (버킷 정책 또는 ACL을 통해) 파일을 읽을 수 있는 권한을 제거합니다.


    •  
  • S3 버킷이 웹 사이트 엔드포인트로 구성된 경우 OAI를 설정할 수 없습니다.
  • Amazon S3 오리진에 대한 액세스를 제한하는 더 선호되는 방법(OAI와 비교)


  • CloudFront 고객은 지정된 CloudFront 배포판만 Amazon S3 버킷에 액세스할 수 있으므로 Amazon S3 오리진을 쉽게 보호할 수 있습니다.


  • 아마존 서비스 CloudFront가 요청에 서명해야 하는지 여부와 특정 요청에 서명할 시기를 설정할 수 있는 기능을 통해 AWS Signature Version 4(SigV4)를 Amazon CloudFront 요청에서 활성화할 수 있습니다. 


  • 아마존 클라우드프론트 배포판을 통해 업로드 및 다운로드를 수행할 때 AWS KMS 키를 사용한 서버측 암호화(SSE-KMS)도 활성화할 수 있습니다.