Come posso configurare OAC per distribuzioni CloudFront con origini Amazon S3 ed eseguire la migrazione da OAI?

Breve descrizione

OAC e OAI sono funzionalità di sicurezza di CloudFront che ti aiutano a proteggere i bucket Amazon S3 di origine. OAC e OAI limitano l'accesso ai bucket S3 e puoi accedervi solo tramite le distribuzioni CloudFront configurate.

Nota: è consigliabile utilizzare OAC anziché OAI. Per ulteriori informazioni, consulta Limita l'accesso a un'origine Amazon S3.

Risoluzione

Crea OAC nella console CloudFront

Per configurare OAC per una distribuzione CloudFront con un bucket Amazon S3 come origine, completa i seguenti passaggi:

1. Apri la console CloudFront.
2. Nel pannello di navigazione, espandi Security (Sicurezza), quindi scegli Origin access (Accesso origine).
3. Scegli Create control setting (Crea impostazione controllo).
4. Nel modulo Create new OAC (Crea nuovo OAC), completa quanto segue:
   Inserisci un Name (Nome) per l'OAC.
   (Facoltativo) Inserisci una Description (Descrizione) per l'OAC.
   Per Signing behavior (Comportamento di firma), mantieni l'impostazione predefinita come Sign requests (recommended) (Richieste di firma (scelta consigliata)).
   Scegli l'elenco a discesa Origin type (Tipo di origine), quindi S3.
5. Scegli Create (Crea).

Per ulteriori informazioni, consulta Crea il controllo di accesso all'origine.

Aggiungi l'OAC a un'origine S3 in una distribuzione

Completa i seguenti passaggi:

1. Apri la console CloudFront.
2. Nel pannello di navigazione, scegli Distributions (Distribuzioni), quindi seleziona la distribuzione con un'origine S3.
3. Scegli la scheda Origins (Origini), quindi seleziona il nome dell'origine a cui desideri aggiungere l'OAC.
4. Scegli Edit (Modifica), quindi Origin access control settings (recommended) (Impostazioni di controllo dell'accesso origine (scelta consigliata)).
5. Scegli l'elenco a discesa Origin access control (Controllo dell'accesso origine), quindi seleziona l'OAC che hai creato nella sezione precedente.
6. Scegli Save changes (Salva modifiche).

Aggiorna la policy del bucket S3

Per consentire alla distribuzione CloudFront di utilizzare OAC per accedere al bucket S3, aggiorna la policy del bucket:

1. Apri la console Amazon S3.

2. Nel pannello di navigazione, scegli Bucket per uso generico.

3. Scegli il bucket S3, quindi scegli la scheda Autorizzazioni.

4. In Policy del bucket scegli Modifica.

5. In Istruzione di modifica della policy, collega la seguente policy:

   {
       "Version": "2012-10-17",
       "Statement": {
           "Sid": "AllowCloudFrontServicePrincipalReadOnly",
           "Effect": "Allow",
           "Principal": {
               "Service": "cloudfront.amazonaws.com"
           },
           "Action": "s3:GetObject",
           "Resource": "arn:aws:s3:::YOUR_BUCKET_NAME/*",
           "Condition": {
               "StringEquals": {
                   "AWS:SourceArn": "arn:aws:cloudfront::YOUR_AWS_ACCOUNT_ID:distribution/YOUR_DISTRIBUTION_ID"
               }
           }
       }
   }

   Nota: sostituisci YOUR_BUCKET_NAME, YOUR_AWS_ACCOUNT_ID e YOUR_DISTRIBUTION_ID con le tue variabili.

6. Scegli Save changes (Salva modifiche).

(Facoltativo) Esegui la migrazione da OAI a OAC

Se utilizzi OAI per limitare l'accesso all'origine del bucket S3 e desideri eseguire la migrazione a OAC, completa i seguenti passaggi:

1. Segui i passaggi nella sezione Crea un OAC nella console CloudFront.

2. Apri la console Amazon S3.

3. Nel pannello di navigazione, scegli Bucket per uso generico.

4. Scegli il bucket S3, quindi scegli la scheda Autorizzazioni.

5. In Policy del bucket scegli Modifica.

6. In Istruzione di modifica della policy, collega la seguente policy:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowCloudFrontServicePrincipalReadOnly",
               "Effect": "Allow",
               "Principal": {
                   "Service": "cloudfront.amazonaws.com"
               },
               "Action": "s3:GetObject",
               "Resource": "arn:aws:s3:::YOUR_BUCKET_NAME/*",
               "Condition": {
                   "StringEquals": {
                       "AWS:SourceArn": "arn:aws:cloudfront::YOUR_AWS_ACCOUNT_ID:distribution/YOUR_DISTRIBUTION_ID"
                   }
               }
           },
           {
               "Sid": "AllowLegacyOAIReadOnly",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity YOUR_ORIGIN_ACCESS_IDENTITY_ID"
               },
               "Action": "s3:GetObject",
               "Resource": "arn:aws:s3:::YOUR_BUCKET_NAME/*"
           }
       ]
   }

   Nota: sostituisci YOUR_BUCKET_NAME, YOUR_AWS_ACCOUNT_ID, YOUR_DISTRIBUTION_ID e YOUR_ORIGIN_ACCESS_IDENTITY_ID con le tue variabili.

7. Scegli Save changes (Salva modifiche).

8. Apri la console CloudFront.

9. Nel pannello di navigazione, scegli Distributions (Distribuzioni), quindi seleziona la distribuzione alla quale desideri collegare l'OAC.

10. Scegli la scheda Origins (Origini), scegli il nome delle origini, quindi scegli Edit (Modifica).

11. Per Origin Access (Accesso origine), seleziona le Origin access control settings (recommended) (Impostazioni di controllo dell'accesso origine (scelta consigliata)).

12. Scegli l'elenco a discesa Origin access control (Controllo dell'accesso all'origine), quindi seleziona l'OAC che desideri utilizzare.

13. Scegli Save changes (Salva modifiche).

Dopo che la distribuzione è stata completamente distribuita, puoi aggiornare la policy del bucket S3 per rimuovere l'istruzione relativa a OAI.

Per ulteriori informazioni, consulta Migrazione dell'identità di accesso origine (OAI) al controllo degli accessi origine (OAC).

Informazioni correlate

Limita l'accesso a un'origine Amazon S3

Blocco dell'accesso pubblico allo storage Amazon S3