あなたが最初のソースとしてのAmazon S3バケットを設定するとCloudFrontの配信は、あなたのバケツのファイルを読むために皆の許可を与えます。このように、誰もがCloudFrontをしたり、ファイルにアクセスするためにAmazon S3のURLを使ってすることができます。CloudFrontのは、Amazon S3 URLを開示することはありませんが、アマゾンS3、または誰かから直接、任意のドキュメントのアプリケーションはAmazon S3の内の特定のファイルへの直接リンクを漏洩した場合、ユーザーはこれらのURLを有することができます。
あなたはアマゾンS3バケットファイルへのアクセスを制限するCloudFrontの署名CookieのURLまたは署名を使用している場合は、URLへのアクセスをAmazon S3 Amazon S3のファイルを使用してからユーザーを防ぐために必要がある場合があります。アマゾンS3内のファイルへのユーザーの直接アクセスした場合、彼らはCloudFrontので提供署名CookieのURLまたは署名コントロールをバイパスします。
ユーザーが唯一のあなたのファイルにアクセスするためのCloudFrontのURLを使用することを確保するために、関係なく、このURL署名するかどうかの、次の手順を実行します。
-
ソース・アクセス・アイデンティティOAI作成します(特別CloudFrontのユーザ)、および流通に関連するソースの識別情報へのアクセスを。あなたは、あなたのAmazon S3のコンテンツ保護またはそれの一部だけすべてを保護することができるように、最大のソースに関連するソースの識別情報にアクセスする必要があります。また、ディストリビューションを作成するときにソースのアクセスIDを作成し、あなたの割り当てに追加することができます。詳細については、 CloudFrontのオリジン・アクセスIDを作成し、あなたの割り当てに追加します。
-
あなたのAmazon S3バケットやファイルでバケツに変更権限、そのためのアクセス許可を読んだだけで、ソース(または読み取りおよびダウンロード権限)。ユーザーがファイルをAmazon S3 CloudFrontは、ファイルにアクセスするユーザーに代わって元のアイデンティティにCloudFrontのアクセスをアクセスするとき。ユーザーはAmazon S3のURLを使って、ファイルを直接要求した場合、彼らはアクセスを拒否されます。ソースファイルアクセスアイデンティティは、Amazon S3バケットへのアクセスを持っていますが、ユーザーがすることはできません。詳細については、参照してくださいソースへのアクセスのAmazon S3バケットファイルのIDの読み取り権限を付与します。