Wie konfiguriere ich OAC für CloudFront-Distributionen mit Amazon S3-Ursprüngen und migriere von OAI?

Kurzbeschreibung

OAC und OAI sind CloudFront-Sicherheitsfunktionen, mit denen du deine Amazon S3-Bucket-Ursprünge sichern kannst. OAC und OAI schränken den Zugriff auf S3-Buckets ein und du kannst nur über die von dir konfigurierten CloudFront-Distributionen darauf zugreifen.

Hinweis: Es hat sich bewährt, OAC anstelle von OAI zu verwenden. Weitere Informationen findest du unter Zugriff auf einen Amazon S3-Ursprung beschränken.

Lösung

OAC in der CloudFront-Konsole erstellen

Gehe wie folgt vor, um OAC für eine CloudFront-Distribution mit einem Amazon S3-Bucket-Ursprung zu konfigurieren:

1. Öffne die CloudFront-Konsole.
2. Erweitere im Navigationsbereich die Option Sicherheit und wähle dann Ursprungszugriff aus.
3. Wähle Kontrolleinstellung erstellen aus.
4. Fülle im Formular Neue OAC erstellen Folgendes aus:
   Gib einen Namen für die OAC ein.
   (Optional) Gib eine Beschreibung für die OAC ein.
   Behalte für das Signierverhalten die Standardeinstellung Anfragen signieren (empfohlen) bei.
   Wähle die Dropdownliste Ursprungstyp und dann S3 aus.
5. Wähle Erstellen aus.

Weitere Informationen findest du unter Erstellen der Ursprungszugriffskontrolle.

Die OAC zu einem S3-Ursprung in einer Distribution hinzufügen

Führe die folgenden Schritte aus:

1. Öffne die CloudFront-Konsole.
2. Wähle im Navigationsbereich Distributionen und dann die Distribution mit einem S3-Ursprung aus.
3. Wähle die Registerkarte Ursprünge und dann den Ursprungsnamen aus, zu dem du die OAC hinzufügen möchtest.
4. Wähle Bearbeiten und dann Ursprungszugriffskontrolleinstellungen (empfohlen) aus.
5. Wähle die Dropdownliste Ursprungszugriffskontrolle und dann die OAC aus, die du im vorherigen Abschnitt erstellt hast.
6. Wähle Änderungen speichern aus.

Aktualisiere die S3-Bucket-Richtlinie

Damit die CloudFront-Distribution OAC für den Zugriff auf den S3-Bucket verwenden kann, aktualisiere die Bucket-Richtlinie:

1. Öffne die Amazon S3-Konsole.

2. Wähle im Navigationsbereich Allzweck-Buckets aus.

3. Wähle den S3-Bucket und dann die Registerkarte Berechtigungen aus.

4. Wähle unter Bucket-Richtlinie die Option Bearbeiten aus.

5. Füge der Anweisung zur Richtlinienbearbeitung die folgende Richtlinie hinzu:

   {
       "Version": "2012-10-17",
       "Statement": {
           "Sid": "AllowCloudFrontServicePrincipalReadOnly",
           "Effect": "Allow",
           "Principal": {
               "Service": "cloudfront.amazonaws.com"
           },
           "Action": "s3:GetObject",
           "Resource": "arn:aws:s3:::YOUR_BUCKET_NAME/*",
           "Condition": {
               "StringEquals": {
                   "AWS:SourceArn": "arn:aws:cloudfront::YOUR_AWS_ACCOUNT_ID:distribution/YOUR_DISTRIBUTION_ID"
               }
           }
       }
   }

   Hinweis: Ersetze YOUR_BUCKET_NAME, YOUR_AWS_ACCOUNT_ID und YOUR_DISTRIBUTION_ID durch deine Variablen.

6. Wähle Änderungen speichern aus.

(Optional) Migriere OAI zu OAC

Wenn du OAI verwendest, um den Zugriff auf deinen S3-Bucket-Ursprung einzuschränken, und zu OAC migrieren möchtest, führe die folgenden Schritte aus:

1. Folge den Schritten im Abschnitt Erstellen einer OAC in der CloudFront-Konsole.

2. Öffne die Amazon S3-Konsole.

3. Wähle im Navigationsbereich Allzweck-Buckets aus.

4. Wähle den S3-Bucket und dann die Registerkarte Berechtigungen aus.

5. Wähle unter Bucket-Richtlinie die Option Bearbeiten aus.

6. Füge der Anweisung zur Richtlinienbearbeitung die folgende Richtlinie hinzu:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowCloudFrontServicePrincipalReadOnly",
               "Effect": "Allow",
               "Principal": {
                   "Service": "cloudfront.amazonaws.com"
               },
               "Action": "s3:GetObject",
               "Resource": "arn:aws:s3:::YOUR_BUCKET_NAME/*",
               "Condition": {
                   "StringEquals": {
                       "AWS:SourceArn": "arn:aws:cloudfront::YOUR_AWS_ACCOUNT_ID:distribution/YOUR_DISTRIBUTION_ID"
                   }
               }
           },
           {
               "Sid": "AllowLegacyOAIReadOnly",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity YOUR_ORIGIN_ACCESS_IDENTITY_ID"
               },
               "Action": "s3:GetObject",
               "Resource": "arn:aws:s3:::YOUR_BUCKET_NAME/*"
           }
       ]
   }

   Hinweis: Ersetze YOUR_BUCKET_NAME, YOUR_AWS_ACCOUNT_ID, YOUR_DISTRIBUTION_ID und YOUR_ORIGIN_ACCESS_IDENTITY_ID durch deine Variablen.

7. Wähle Änderungen speichern aus.

8. Öffne die CloudFront-Konsole.

9. Wähle im Navigationsbereich Distributionen und dann die Distribution aus, an die du die OAC anhängen möchtest.

10. Wähle die Registerkarte Ursprünge aus. Wähle deinen Ursprungsnamen und dann Bearbeiten aus.

11. Wähle für Ursprungszugriff Ursprungszugriffskontrolleinstellungen (empfohlen) aus.

12. Wähle die Dropdownliste Ursprungszugriffskontrolle und dann die OAC aus, die du verwenden möchtest.

13. Wähle Änderungen speichern aus.

Nachdem die Distribution vollständig bereitgestellt wurde, kannst du die S3-Bucket-Richtlinie aktualisieren, um die Anweisung zu OAI zu entfernen.

Weitere Informationen findest du unter Migration von Ursprungszugriffsidentität (OAI) zu Ursprungszugriffskontrolle (OAC).

Ähnliche Informationen

Zugriff auf einen Amazon S3-Ursprung beschränken

Sperren des öffentlichen Zugriffs auf deinen Amazon S3-Speicher