S3 Restricted URL vs Cloudfront Signed URLs

Question

Nous envisageons de déplacer la livraison de nos fichiers vers Cloudfront.

Actuellement, nous générons des URL « sécurisés » pour notre livraison de fichiers sur une base individuelle qui ressemblent à: http://downloads.xxxxx.com/1/2005-01-01_2006-01-01.csv?AWSAccessKeyId=012NFZM3D44FSG20CP82&Expires=1495287427&response-cache-control=No-cache&response-content-disposition=attachment%3B%20filename%3D2005-01-01_2006-01-01.csv&Signature=tWAeES3rhAlv2SQoZkqyYJEexH0%3D

est-il un moyen facile d'appliquer CloudFront à l'URL ci-dessus, ou avons-nous besoin de les configurer à partir de zéro en utilisant des URL signées? Est-ce que l'URL authentifiée par S3 serait "pass-through" en utilisant Cloudfront si je crée une distribution simple là-bas?

Answer 1

Il est théoriquement possible de configurer CloudFront pour passer une URL signée S3, mais cela annulerait toute mise en cache, donc ... non, ce n'est pas une solution viable. CloudFront utilise un entirely different algorithm for signed URLs, il n'est donc pas possible de simplement transformer une URL S3 signée en une URL signée CloudFront.

Notez également que vous devez intégrer les paramètres response-* existants dans l'URL avant de le signer. CloudFront doit toujours les passer afin que S3 puisse modifier sa réponse comme indiqué.

---

non apparentés: une caractéristique que vous pourriez trouver intéressant est que, avec CloudFront signé URL, vous avez réellement la possibilité en option d'intégrer l'adresse IP du client dans l'URL de telle sorte que l'URL ne peut être utilisé à partir d'un adresse IP unique. Ce n'est pas quelque chose qui peut être fait de manière directe avec une URL signée S3.