当您首次将 Amazon S3 存储桶设置为 CloudFront 分配的源时,将授予每个人读取您存储桶中的文件的权限。这样,任何人都可以通过 CloudFront 或使用 Amazon S3 URL 访问您的文件。CloudFront 不会公开 Amazon S3 URL,但如果应用程序从 Amazon S3 中直接提供任何文件,或有人泄露了 Amazon S3 中的特定文件的直接链接,则用户可能会拥有这些 URL。
如果使用 CloudFront 签名 URL 或签名 Cookie 来限制对 Amazon S3 存储桶中文件的访问权,您可能还需要防止用户使用 Amazon S3 URL 访问 Amazon S3 文件。如果用户直接访问 Amazon S3 中的文件,他们将绕过由 CloudFront 签名 URL 或签名 Cookie 提供的控制。
要确保您的用户只使用 CloudFront URL 访问您的文件,无论此 URL 是否签名,请执行以下操作:
-
创建源访问身份OAI(一个特殊的 CloudFront 用户),并将源访问身份与分配相关联。您需要将源访问身份与源关联起来,以便您可以保护您的所有 Amazon S3 内容或者只保护其中一部分内容。您也可在创建分配时创建源访问身份并将其添加到您的分配中。有关更多信息,请参阅创建 CloudFront 源访问身份并将其添加到您的分配中。
-
更改对您的 Amazon S3 存储桶或存储桶中文件的权限,以便只有源访问身份具有读取权限(或读取和下载权限)。当用户通过 CloudFront 访问 Amazon S3 文件时,CloudFront 源访问身份将代表用户获取文件。如果用户直接通过使用 Amazon S3 URL 请求文件,他们将会被拒绝访问。源访问身份有权访问 Amazon S3 存储桶中的文件,但用户不能。有关更多信息,请参阅授予源访问身份读取 Amazon S3 存储桶中文件的权限。