Erstellen eines S3 bucket-Richtlinie, die ermöglicht den Zugriff auf Cloudfront, sondern schränkt den Zugriff auf jemand anderes

Habe ich die folgende Richtlinie:

{
        "Version": "2008-10-17",
        "Id": "PolicyForCloudFrontPrivateContent",
        "Statement": [
            {
                "Sid": "Stmt1395852960432",
                "Action": "s3:*",
                "Effect": "Deny",
                "Resource": "arn:aws:s3:::my-bucket/*",
                "Principal": {
                    "AWS": [
                        "*"
                    ]
                }
            },
            {
                "Sid": "1",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity E1IYJC432545JN"
                },
                "Action": "s3:GetObject",
                "Resource": "arn:aws:s3:::my-bucket/*"
            }
        ]
    }

Dies ist jedoch leugnen die Anforderungen von allen Interessenten, auch Cloudfront. Was ist der richtige Weg, dies zu tun?

Das problem ist, dass Objekte erstellt werden, die der Kunde mit öffentlichen Lesen. Ich derzeit nicht über die unmittelbare Kontrolle des client um diese Einstellung zu ändern. Also, was ich will, ist eine Politik, die anstelle einzelner Objekt-ACL. So default deny hier nicht funktioniert.

InformationsquelleAutor Snowman | 2014-03-26

  1. 16

    Den S3-Politik Aussehen wird, so etwas wie dieses:

    {
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
    {
        "Sid": "1",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXXXX"
        },
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::YYYYYYYYYYYYY.com/*"
    }
 ]
}

    Aber, ich habe nicht manuell erzeugen. Wenn Sie hinzufügen, eine Herkunft (S3) in cloudfront, Sie haben eine option, um "Den Eimer Access" - sagen hier "ja" aus und bewegen Sie vorwärts. Cloudfront-Konfiguration erledigt den rest automatisch für Sie.

    Details hier: Mit einem Ursprungs-Access id Zugriff auf Ihre Amazon S3-Content - Amazon CloudFront.

    Ich habe bereits versucht, "Den Eimer Access" - hat nicht funktioniert.
    Ich hatte das gleiche Problem. Die AWS-man-Seiten sind schrecklich zu Lesen. Für mich habe ich die Origins Registerkarte und die Yes, Update Bucket Policy nach dem hinzufügen einer Identität.
    Ich habe das gleiche problem hier: stackoverflow.com/questions/47805797/...

    InformationsquelleAutor Sony Kadavan

  2. 5

    Dies ist, was Sie suchen. Ersetzen XXXXXXXXXXXXXX mit Sie Ursprung Zugangs-id

    {
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AddPerm",
        "Effect": "Deny",
        "NotPrincipal": {
            "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXXXXXXX"
        },
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::your.bucket.com/*"
    },
    {
        "Sid": "2",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXXXXXXX"
        },
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::your.bucket.com/*"
    }
]
}
    Dies ist die richtige Antwort. Bei mir hat es geklappt!

    InformationsquelleAutor Panagiotis Sakellariou

Schreibe einen Kommentar