カタカナいっぱいで混乱したので、
CloudFront経由のS3のセキュアな設定についてのメモ
※正式な設定方法はこちらの方が詳しく説明してくださっているのでご参照ください。
関連用語説明
プリンシパル
対象にアクセスのリクエストをするアプリ等
オリジン
CloudFront によってファイルのリクエストが送信される場所
例えば、Amazon S3 バケット、MediaStore コンテナ、MediaPackage チャネル、Application Load Balancer、AWS Lambda 関数 URL を使用できます。
ゴールのイメージ
本題
あるところに有名な絵画を保有し展示している人がいました。
絵画の保有者と、お客さんには、それぞれこんな不満がありました。
お客さん「有名な絵画を見に行きたいけど、場所が遠い。もっと近くにあれば良いなぁ。」
絵画の保有者「誰でも見ることが出来ると盗まれそうだな。」
そこで絵画の保有者はこんなことを思い付きました。
絵画の保有者「そうだ、コピーを作って博物館で展示しよ。場所はお客さんの近くにしよ。」
オリジンアクセスアイデンティティ(OAI)の作成
お客さんの近くに博物館を開きたいので、準備をします。
まず、絵画のコピーを入手する為専用のトンネルを作成します。
動線の確保が大事です。
トンネルには「OAI」という名前を付けました。
※2024/05/04現在
OAC の使用をお勧めします。
S3アクセスポイントの作成
元の絵画は安全の為に隠すことにしました。
そして「コピーの絵画を受け取れる人は、OAIトンネルから来た博物館管理者だけ」という約束で、博物館経営会社にコピーの使用許可と経営許可を出しました。
CloudFrontディストリビューションの作成
いよいよ博物館を建築して、
絵画の保有者と約束した経路で、絵画のコピーを入手します。
博物館オープン
冒頭記載のゴールのイメージで読み替えてください。