Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

Comment utiliser ma distribution CloudFront pour restreindre l’accès à un compartiment Amazon S3 ?

Lecture de 4 minute(s)

Je souhaite restreindre l’accès à mon compartiment Amazon Simple Storage Service (Amazon S3) afin que les utilisateurs puissent accéder aux objets uniquement via ma distribution Amazon CloudFront.

Résolution

Pour restreindre l'accès à un compartiment S3, vous créez un contrôle d'accès d'origine (OAC) ou créez une ancienne identité d'accès d’origine (OAI). Il est recommandé de créer un OAC plutôt que l'ancienne OAI.

Important : Avant de commencer, vérifiez que vous avez configuré l'origine Amazon S3 de votre distribution CloudFront en tant que point de terminaison d'API REST, tel que AWSDOC-EXAMPLE-BUCKET.s3.amazonaws.com. Cette résolution ne s’applique pas aux origines Amazon S3 configurées comme point de terminaison de site Web, telles que AWSDOC-EXAMPLE-BUCKET.s3-website-us-east-1.amazonaws.com. Pour plus d’informations, consultez la section Comment diffuser un site Web statique hébergé sur Amazon S3 à l’aide de CloudFront ?

Créer un OAC CloudFront

Procédez comme suit :

Ouvrez la console CloudFront.
Dans le volet de navigation, choisissez Distributions, puis choisissez la distribution qui diffuse le contenu du compartiment S3 auquel vous souhaitez restreindre l'accès.
Choisissez l’onglet Origines.
Sélectionnez l’origine Amazon S3, puis choisissez Modifier.
Dans Accès d’origine, sélectionnez Paramètres de contrôle d’accès d’origine (recommandé).
Dans Contrôle d'accès d’origine, sélectionnez un OAC existant. Vous pouvez également sélectionner Créer un nouveau OAC.
Dans la boîte de dialogue, saisissez le nom de votre paramètre de contrôle. Il est recommandé de conserver le paramètre par défaut, à savoir Signer les demandes (recommandé).
Sélectionnez Créer.
Dans Accès au compartiment S3, choisissez Copier la politique.
Sélectionnez Enregistrer les modifications.
Ouvrez la console Amazon S3.
Dans le volet de navigation, choisissez Compartiments à usage général, puis sélectionnez le compartiment qui est à l'origine de la distribution CloudFront.
Choisissez l’onglet Autorisations.
Dans Politique de compartiment, vérifiez que vous voyez une instruction similaire à la suivante :

{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "AllowCloudFrontServicePrincipalReadOnly",
        "Effect": "Allow",
        "Principal": {
            "Service": "cloudfront.amazonaws.com"
        },
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
        "Condition": {
            "StringEquals": {
                "AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/EDFDVBD6EXAMPLE"
            }
        }
    }
}

Remarque : Remplacez DOC-EXAMPLE-BUCKET par le nom de votre compartiment et arn:aws:cloudfront::111122223333:distribution/EDFDVBD6EXAMPLE par l’Amazon Resource Name (ARN) de votre distribution CloudFront. Pour permettre au CloudFront OAC de lire les objets de votre compartiment, vous devez ajouter l’instruction précédente à votre politique de compartiment. Après avoir restreint l’accès à votre compartiment, vous pouvez intégrer AWS WAF pour un niveau de sécurité supplémentaire.

Créer un ancien OAI CloudFront

Procédez comme suit :

Ouvrez la console CloudFront.
Dans le volet de navigation, choisissez Distributions, puis choisissez la distribution qui diffuse le contenu du compartiment S3 auquel vous souhaitez restreindre l'accès.
Choisissez l’onglet Origines.
Sélectionnez l’origine Amazon S3, puis choisissez Modifier.
Dans Accès d’origine, choisissez Identités d'accès existantes.
Dans la liste déroulante Identité d’accès d’origine, sélectionnez le nom de l’OAI. Vous pouvez également choisir Créer une nouvelle OAI.
Dans la boîte de dialogue, saisissez le nom de votre nouvel OAI, puis choisissez Créer.
Dans Politique de compartiment, sélectionnez Oui, Mettre à jour la politique de compartiment.
Sélectionnez Enregistrer les modifications.
Ouvrez la console Amazon S3.
Dans le volet de navigation, choisissez Compartiments à usage général, puis sélectionnez le compartiment qui est à l'origine de la distribution CloudFront.
Choisissez l’onglet Autorisations.
Dans Politique de compartiment, vérifiez que vous voyez une instruction similaire à l’exemple suivant :

{  
    "Sid": "1",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EAF5XXXXXXXXX"  
    },  
    "Action": "s3:GetObject",  
    "Resource": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"  
}

Remarque : Remplacez arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EAF5XXXXXXXXX par l'ARN de votre distribution CloudFront et AWS****DOC-EXAMPLE-BUCKET par le nom de votre compartiment. Examinez votre politique de compartiment pour les instructions contenant "Effect": "Deny" qui bloquent l'accès au compartiment depuis l'OAI CloudFront. Changez l'action à Autoriser afin que l'OAI CloudFront puisse accéder aux objets du compartiment. Consultez également votre politique de compartiment pour les instructions contenant **"Effect": **"Allow" qui autorisent l'accès au compartiment depuis n'importe quelle source autre que l'OAI CloudFront. Modifiez ces instructions en fonction de votre cas d’utilisation.

Informations connexes

Créer une distribution

Gestion des identités et des accès pour Amazon S3

Sujets: Networking & Content Delivery
Balises: Amazon CloudFront
Langue: Français

Vidéos associées

Regarder la vidéo de Nishant pour en savoir plus (4:34)

AWS OFFICIELA mis à jour il y a 8 mois

Aucun commentaire

Contenus pertinents

Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 2 ans
accélération S3
jerome
demandé il y a 2 ans
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a un an
Comment changer une région aws pour un compartiment déjà créé ?
RAV3D
demandé il y a 2 ans
Besoin de conseils d’architecture pour application de visioconférence
Nayyar
demandé il y a 4 mois
Pourquoi est-ce que je reçois un message d’erreur « 403 access denied » lorsque j’utilise un point de terminaison du site Web d’Amazon S3 comme origine de ma distribution CloudFront ?
AWS OFFICIELA mis à jour il y a un an
Comment diffuser un site Web statique hébergé sur Amazon S3 à l’aide de CloudFront ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi est-ce que j'obtiens des erreurs « 403 Access Denied » lorsque j'utilise un point de terminaison de l’API REST S3 comme origine de ma distribution CloudFront ?
AWS OFFICIELA mis à jour il y a 7 mois
Comment configurer l'OAC pour les distributions CloudFront comportant des origines Amazon S3 et effectuer la migration depuis OAI ?
AWS OFFICIELA mis à jour il y a 8 mois