“让 Cloudfront 通过 VPC 端点访问 S3”是否有意义

问题描述 投票:0回答:1

目前我正在 S3 前面使用 Cloudfront 构建一个基础设施,用于服务公共静态资产。 客户要求他们不喜欢在 S3 上公开其公共静态资产。他们要求通过 VPC 端点以某种方式将这些资产放入 VPN 中

我似乎不太理解客户的提案

Cloudfront 是严格公开的

S3 位于 VPN 之外

VPC Endpoint 是为了帮助 VPC 内的服务访问 S3,而无需连接到互联网

我能想到的唯一方法是 Cloudfront -> ALB -> VPC Endpoint -> S3 可以以某种方式利用 VPC Endpoint,但这对我来说仍然很奇怪,并且不提供任何额外的安全性或控制

amazon-web-services amazon-s3 amazon-cloudfront
1个回答
0
投票

听起来他们的要求是:

  • 他们在 Amazon S3 存储桶中拥有一些“公共静态资产”
  • 他们希望这些资产可以通过 CloudFront 公开访问(全世界无需身份验证即可访问)
  • 他们希望限制对 S3 存储桶的访问,以便 CloudFront 可以检索资产,但没有对该存储桶的公共访问权限

如果是这样,那么配置将是:

  • 创建 CloudFront 发行版
  • 向 S3 存储桶添加存储桶策略,以授予对该 CloudFront 分配的访问权限,但以其他方式保持存储桶的私有性

请参阅:限制对 Amazon Simple Storage Service 源 - Amazon CloudFront 的访问

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.