Cómo Proteger tu Documentación Confidencial en AWS S3 sin Acceso Público Directo: ¿Es CloudFront la Solución?

Pregunta

Está creando un servidor web de documentación confidencial a gran escala en AWS de modo que toda su documentación se almacenará en S3

Uno de los requisitos es que no debe ser accesible públicamente desde S3 directamente.

Se necesitaría CloudFront para lograr esto.

¿Qué método satisfaría los requisitos descritos?

Respuestas

A. Cree un usuario de administración de acceso e identidad (IAM) para CloudFront y otorgue acceso a los objetos en su depósito S3 a ese usuario de IAM.

B. Cree una Identidad de acceso de origen (OAI) para CloudFront y otorgue acceso a los objetos en su depósito S3 a esa OAI.

C. Cree políticas individuales para cada depósito en el que se almacenan los documentos y otorgue acceso solo a CloudFront en estas políticas.

D. Cree una política de depósito de S3 que enumere el ID de distribución de CloudFront como Principal y el depósito de destino como Nombre de recurso de Amazon (ARN).

Respuesta Correcta

A.BCD

Respuesta correcta - B.

Si desea utilizar las URL firmadas de CloudFront o las cookies firmadas para proporcionar acceso a los objetos en su depósito de Amazon S3, probablemente desee evitar que los usuarios accedan a sus objetos de Amazon S3 mediante las URL de Amazon S3.

Si los usuarios acceden a sus objetos directamente en Amazon S3, eluden los controles proporcionados por las URL firmadas o las cookies firmadas de CloudFront.

Por ejemplo, controlar la fecha y la hora en que un usuario ya no puede acceder a su contenido y controlar qué direcciones IP se pueden usar para acceder al contenido.

Además, si los usuarios acceden a los objetos a través de CloudFront y directamente mediante las URL de Amazon S3, los registros de acceso de CloudFront son menos útiles porque están incompletos.

Para asegurarse de que sus usuarios accedan a sus archivos utilizando solo las URL de CloudFront, independientemente de si las URL están firmadas, haga lo siguiente:

Cree una identidad de acceso de origen, que es un usuario especial de CloudFront, y asocie la identidad de acceso de origen con su distribución.

Asocia la identidad de acceso de origen con los orígenes para que pueda proteger todo o solo parte de su contenido de Amazon S3.

También puede crear una identidad de acceso de origen y agregarla a su distribución cuando cree la distribución.

Para obtener más información, consulte Crear una OAI de CloudFront y agregarla a su distribución.

Cambie los permisos en su depósito de Amazon S3 o en los archivos de su depósito para que solo la identidad de acceso de origen tenga permiso de lectura (o permiso de lectura y descarga)

Cuando sus usuarios acceden a sus archivos de Amazon S3 a través de CloudFront, la identidad de acceso de origen de CloudFront obtiene los archivos en nombre de sus usuarios.

Si sus usuarios solicitan archivos directamente mediante las URL de Amazon S3, se les niega el acceso.

La identidad de acceso de origen tiene permiso para acceder a los archivos en su depósito de Amazon S3, pero los usuarios no.

Para obtener más información, consulte Otorgar permiso OAI para leer archivos en su depósito de Amazon S3.

Para obtener más información sobre Origin Access Identity, visite el siguiente enlace.

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html

¡Ahora puedes descargar los tests!

Aquí puedes echar un vistazo a los tests que puedes descargar en formato PDF y Epub  para visualizarlos en tus dispositivos favoritos o incluso imprimirlos para estudiar, subrayar o hacer anotaciones en papel.
Poco a poco vamos agregando más.
Descargar versión imprimible
crossmenu