使用源访问身份(OAI)限制对 Amazon S3 内容的访问

最新推荐文章于 2023-12-26 13:16:53 发布
最新推荐文章于 2023-12-26 13:16:53 发布
阅读量1.6k 收藏 2
点赞数 2
分类专栏: S3 CloudFront AWS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43172660/article/details/109742654
版权
AWS 同时被 3 个专栏收录
15 篇文章 1 订阅
订阅专栏
CloudFront
2 篇文章 0 订阅
订阅专栏
S3
1 篇文章 2 订阅
订阅专栏

使用源访问身份限制对 Amazon S3 内容的访问

很多互联网公司,会选择将图片放在S3上,并利用CloudFront对存储桶的内容进行加速分发,这样用户就可以通过S3访问图片,也可以通过CloudFront的域名来访问图片,但是,公司希望能够限制对S3内容的访问,只希望用户通过CloudFront的域名来访问,从而达到加速的效果。可以通过下面几个步骤达到这一需求。

  1. 创建cloudfront加速的源S3桶
  2. 创建一个称为源访问身份 (OAI) 的特殊 CloudFront 用户 ,可在创建CloudFront分发的时候创建
  3. 配置 S3 存储桶权限,以便 CloudFront 能够使用 OAI 访问存储桶中的文件并将这些文件提供给您的用户

OAI创建和自动配置S3存储桶权限(配置Cloudfront时创建)

  • 限制存储桶访问:选择(如果您希望要求用户始终使用 CloudFront URL 而非 Amazon S3 URL 访问您的 Amazon S3 内容,请单击“是”。当您使用签名的 URL 或签名的 Cookies 来限制对您的内容的访问时,这会很有用。)
  • 源访问身份(OAI):选择创建新身份,并选择更新存储桶策略(否则需要自己去S3修改存储桶策略)

在这里插入图片描述

效果展示

  • 通过S3 URL访问对象

在这里插入图片描述

  • 通过CloudFront URL访问对象

在这里插入图片描述

这样就可以达到我们想要的效果了,也就是S3 URL访问不到,只能通过CloudFront URL 访问。

注意事项

在创建 Amazon S3 存储桶之后,存储桶名称最多需要 24 小时才能传播到所有 AWS 区域。在此期间,向与 S3 存储桶不在同一个区域中的区域终端节点发送请求时,您可能会收到“307 临时重定向”响应。

  • 例如,如果您创建一个新的存储桶并立即向该存储桶发出请求,则可能会收到临时重定向,具体取决于存储桶的位置限制。如果您在美国东部(弗吉尼亚北部)AWS地区创建了存储桶,则不会看到重定向,因为这也是默认的AmazonS3终端节点。
  • 但是,如果在其他任何区域中创建了存储桶,则在传播存储桶的DNS条目时,对存储桶的所有请求都会转到默认端点。默认终结点使用HTTP302响应将请求重定向到正确的终结点。临时重定向包含指向正确工具的URI,您可以使用该URI立即重新发送请求。

解决方法:如果您使用 Amazon CloudFront 分配功能并以 Amazon S3 为源,CloudFront 将请求转发到默认 S3 终端节点 (s3.amazonaws.com),即位于 us-east-1 区域。如果您必须在创建存储桶的前 24 个小时内访问 Amazon S3,可以更改分配的原始域名以包括存储桶的区域终端节点。例如,如果存储桶位于 us-west-2,您可以将原始域名从 bucketname.s3.amazonaws.com 更改为 bucketname.s3-us-west-2.amazonaws.com。

打牛地
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用CloudFront公共访问私有S3存储桶中的内容OAI)+waf结合使用
qq_44848743的博客
08-19 846
使用CloudFront公共访问私有S3存储桶中的内容OAI)+waf结合使用 一般来说,有些公司需要用户访问s3中的内容,例如应用程序会需要用到s3中的内容,但是如果应用程序一旦泄露,就会让客户拥有s3的public-url,就可以随时访问文件,所以为了安全性的要求,不允许客户访问s3的情况,以减少泄露数据的情况发生,就可以使用cloudfront的OAI功能。 而值得注意的是,尽管cloudfront很是安全,但您需要为他支付所需费用,可能这个费用并不便宜。 Lab: 1,实验之前,我们需要一个
OAI 5G-NR gNB码架构分析.docx
07-21
OAI 5G-NR gNB码架构分析 OAI 5G-NR gNB码架构分析是 OpenAirInterface(OAI)项目中的一个关键组件,负责实现5G-NR无线接入网关(gNB)的功能。该组件的码架构主要包括了以下几个部分: 1. gNB主进程(Main...
S3 上传图片访问不了问题
悠忧南士
06-13 7216
<Error> <Code>AccessDenied</Code> <Message>Access Denied</Message> <RequestId>80f43537yh6tjcrd3252D03883E</RequestId> <HostId> gdhfgj54635efhgtjr53...
Amazon S3对象储存(以图片为例)
wresource的博客
05-23 9583
在我们日常开发中,图片是非常常用的一种文件,一般来讲是采用url的方式进行加载的,那就有个问题了,离服务器的远近导致了延迟的问题,离服务器远的用户体验相对而言就不是很好了,那有没有办法可以解决这个问题,接下来介绍的Amazon S3(Simple Storage Service)对象存储就是解决这个问题的,正文即将开始。
AWS 使用CloudFront+S3托管视频流
最新发布
SINGWIN01的博客
12-26 2212
1、登录到Amazon S3控制台,在左侧导航窗格中,选择选择2、对于,输入您的存储桶的名称。3、对于,选择要在其中放置桶的 AWS 区域。4、对于,保留默认设置(5、对于,保留默认设置(已启用)。6、保留其余设置为默认值。7、选择。
AWSS3 与 CloudFront 配合纪要
weixin_42445065的博客
08-31 2337
AWS 的经典搭配:S3+CloudFront 来部署资
downloadable-datasets:使用OAI-PMH收集CHO数据并生成压缩集
02-20
该项目使用定期收集Europeana数据库中的所有文化遗产对象(CHO),并将它们转换为压缩集,以便人们可以下载这些内容。 请不要使用此软件来生成您自己的集,因为这将需要几天的时间才能完成,并且需要500 GB以上的...
OAI 基站配置文件B210
03-06
OAI 基站配置文件B210
基于OAI协议的元数据交互解决方案
10-26
OAI协议,即开放文献倡议协议(Open Archives Initiative Protocol for Metadata Harvesting),是一个旨在解决元数据交互性的简单协议,它被广泛用于有效分发学术研究资料、电子文档等数据内容OAI协议的主要目的...
OAIProxySource:OAI代理的代码-Proxy source code
03-24
OAI代理则是实现OAI-PMH协议的一个工具,它作为一个中介,允许用户通过一个统一的接口访问多个遵循OAI-PMH协议的数据。 **开系统的重要性** 开意味着代码对公众开放,允许任何人查看、使用、修改和分发代码...
AWS如何防止用户通过 URL 直接访问 S3内容
03-27 1779
示意图 简单示意如下。 用户必须通过CloudFront才可以访问S3中的文件,直接访问S3则打不开。 实现方法 通过CloudFront的OAI来实现,限制存储桶只能通过CloudFront访问,并更新S3存储桶策略 关键配置 1、在S3存储桶,先创建个需要CloudFront加速的S3 桶。 默认步骤即可。 上传1个文件,复制下URL,一会验证时用。现在是能够打开文件,当CloudFront OAI配置完,就不能再打开。 2、CloudFront配置 在S3存储桶访.
AWS S3云存储服务
weixin_54719086的博客
03-08 6430
云存储服务
AWS认证助理架构师样题答案整理
Keep Learning!!!
01-02 8603
AWS 助理认证架构师样题答案整理,供参考: 1 of 7. Amazon Glacier is designed for: (Choose 2 answers) (answers: BC) A. active database storage. B. infrequently accessed data. C. data archives. D. frequently accessed
AWS认证攻略 – E哥的AWS Solution Architecture Associate 认证攻略
热门推荐
E哥的aws认证攻略
04-10 8万+
E哥AWS认证攻略 – AWS Solution Architecture Associate 备考介绍。学习资料汇总,备考计划,题库,机经。
OpenAirInterface(OAI)基础知识
jamie_byr
03-23 6551
OAI根据3GPP的标准,完全实现了LTE协议的核心网(EPC),基站(eNB)和用户(UE)三部分。其基本组件和各组件间的信息传递如图所示:(图片转自网络)EPC主要逻辑网元功能:MME(mobility management entity)移动性管理会话管理用户鉴权和密钥管理合法监听NAS层信令的加密和完整性保护TA LIST管理P-GW/S-GW选择SGW(serving gateway):...
aws s3仅允许cloudfront访问_S3 作为 AWS CloudFront 真的安全吗?
weixin_39715187的博客
12-01 794
S3 作为 AWS CloudFront 真的安全吗?可以从哪几方面着手提高数据的安全性?这就需要咱们用点子智慧~身为伊克罗德的解决方案架构师专业团队一员,编号007,今天在这里和大家分享我的经验。通常在我初次配置CloudFront时,会需要配置以下几个步骤:步骤一:将内容上传到 Amazon S3,然后授予对象权限,必须允许公开读取存储桶和文件,文件必须授予公共读取访问权限。步骤二...
访问身份设置概述
weixin_30321709的博客
08-09 94
当您首次将 Amazon S3 存储桶设置为 CloudFront 分配的时,将授予每个人读取您存储桶中的文件的权限。这样,任何人都可以通过 CloudFront 或使用 Amazon S3 URL 访问您的文件。CloudFront 不会公开 Amazon S3 URL,但如果应用程序从 Amazon S3 中直接提供任何文件,或有人泄露了 Amazon S3 中的特定文件的直接链接...
[OpenAirInterface实战-1] :什么是OAIOAI常见问题解答
文火冰糖(王文兵)的博客
09-26 2万+
第1章 什么是OAI(OpenAirInterface) 1.1 来自官网的概述 OpenAirInterface是一种开放软件,汇集了来自世界各地的开发人员,他们共同构建无线蜂窝接入网络(RAN)和核心网络(CN)技术. 1.2 来自github的概述 OAI是一个开的硬件和软件无线技术平台(模拟、仿真和实时),用于部署具有高度真实感的模拟无线蜂窝网络。 1.3 来自我的解读 OpenAirInterface不仅仅包括无线空口, 还包括整个无线接入网RAN,也包括核心网C...
在clock path上可以使用OAI等组会控制逻辑
05-15
是的,可以在时钟路径(clock path)上使用 OAI(或其他门电路)等组合逻辑来控制时钟信号的传输和延迟。这通常用于时钟域交叉(clock domain crossing)和时钟缓冲(clock buffering)等设计中。在时钟域交叉中,需要将时钟从一个时钟域传输到另一个时钟域,这就需要一些逻辑控制来确保时钟信号的正确传输。时钟缓冲则是用来确保时钟信号的稳定性和减少时钟抖动的一种方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值