En este artículo, veremos cómo restringir el acceso a Simple Storage Service (S3) solo desde CloudFront. Cuando los desarrolladores utilizan el extremo de la API REST de S3 como origen de CloudFront, pueden restringir el acceso a S3 desde CloudFront solo configurando la Identidad de acceso de origen (OAI). Este es un usuario especial de CloudFront, que asociarán con la distribución.
Luego, los usuarios pueden agregar permisos en el depósito de S3, o los objetos en un depósito de S3, para permitir el acceso solo a esta identidad de acceso de origen. Cuando el usuario accede al objeto de S3 a través de CloudFront, la identidad de acceso de origen obtiene el objeto en nombre de los usuarios. Si los usuarios intentan acceder a la URL de S3 directamente, se les deniega el acceso.
Esto garantiza que el cliente pueda acceder a los objetos en el depósito de S3, pero solo mediante CloudFront. Esta es una capa adicional de seguridad y los clientes pueden controlar el tráfico integrando WAF con CloudFront para proteger sus sitios web.
Para crear un cierre en la identidad de acceso de Origin mediante la consola de CloudFront, siga los pasos a continuación:
Paso 1: inicie sesión en la consola de administración de AWS y vaya a la consola de CloudFront:
Paso 2: seleccione el ID de distribución al que desea agregar la identidad de acceso de origen
.
Paso 3: luego cambie al modo Editar y elija la pestaña Orígenes y luego seleccione el origen S3 que desea editar.
Paso 4: para Restringir el acceso al depósito , haga clic en Sí. Si ya tiene OAI, puede elegir la identidad existente o puede crear una nueva. Aquí elegiremos la identidad existente, luego, para que CloudFront actualice automáticamente el permiso de identidad de acceso de origen para leer los objetos en el depósito de S3 especificado en el nombre de dominio de origen, elija Sí, Actualizar política de depósito y luego haga clic en Sí, Editar.
Paso 5: ahora podemos verificar si la política del depósito está actualizada en el depósito S3. Para hacerlo, abra la consola S3 en una nueva pestaña, haga clic en el depósito S3, que es el origen de la distribución de CloudFront.
Paso 6: Seleccione la pestaña de permisos y elija la política del depósito. La política del depósito está configurada para permitir el acceso a la identidad de acceso de origen asociada con la distribución de CloudFront.
Ahora, si intentamos acceder al objeto de S3 accediendo directamente a la URL de S3, podemos ver que hay un error de acceso denegado, por lo que el usuario tendrá acceso al objeto de S3 solo mediante CloudFront.
Publicación traducida automáticamente
Artículo escrito por kumaripunam984122 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA