在一个项目中,我们发现了一个安全隐患:S3 桶和 CloudFront 的访问控制策略存在问题。为了解决这个问题,我们进行了以下整改工作:
整改方案
验证不会影响现有服务
我们首先进行了检查,确保对 S3 桶和 CloudFront 的访问控制策略进行修改不会影响现有的服务。
添加 S3 桶策略
在 S3 桶的权限设置中,我们添加了以下存储桶策略:
{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipal",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::static/*",
"Condition": {
"