CloudFront

是AWS的CDN服務

以下AWS資源可透過CloudFront節省成本

S3
Load Balancer
MediaStore
MediaPackage

配合S3使用

S3存取權設定-不使用原始存取身分 (OAI)

一般此應用情境通常為CloudFront存取的S3物件完全公開(例如網站圖片)

若使用此設定

S3 Bucket必須設定為允許公有存取

S3存取權設定-使用原始存取身分 (OAI)

一般使用此物件的情境通常為CloudFront存取S3的物件為不公開類型

例如限定權限才能下載的檔案、或是受保護的串流檔案

使用此功能通常要再配合CloudFront Signed Url或Signed Cookie功能才能取得資源

參考文件: https://docs.aws.amazon.com/zh_tw/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html

根據文件

一個 AWS 帳戶可以擁有最多 100 個 CloudFront 原始伺服器存取身分OAI

但OAI可用在多個CloudFront Distribution(分佈)

因此只要建立一個OAI共用即可

在CloudFront服務的sidebar有個OAI頁面

可先在此頁面建立一個OAI

儲存貯體政策(Bucket Policy)的部份

這邊使用的是自行手動更新

S3 Bucket Pocliy更新如下

只要替換調OAI Id及Bucket Name即可(花括號框起來的代表變數)

{
	"Version": "2008-10-17",
	"Id": "PolicyForCloudFrontPrivateContent",
	"Statement": [
		{
			"Sid": "1",
			"Effect": "Allow",
			"Principal": {
				"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity {oai-id}"
			},
			"Action": "s3:GetObject",
			"Resource": "arn:aws:s3:::{your-bucket-name}/*"
		}
	]
}

AWS CloudFront基礎使用經驗紀錄