要限制访对您从 Amazon S3 存储桶提供的内容的访问,您可以创建 CloudFront 签名 URL 或签名 Cookie 来限制对 Amazon S3 存储桶中文件的访问,然后您可创建称为源访问身份 (OAI) 的特殊 CloudFront 用户并将其与您的分配关联。接下来,您配置权限,以便 CloudFront 可以使用 OAI 来访问和向您的用户提供文件,但用户无法使用指向 S3 存储桶的直接 URL 来访问其中的文件。采取以下步骤来帮助您维护对通过 CloudFront 提供的文件的安全访问。
通常而言,如果您使用的是 Amazon S3 存储桶作为 CloudFront 分配的源,则您可以允许每个人有权访问这些文件,或者可以限制访问。例如,如果通过使用 CloudFront 签名 URL 或签名 Cookie 来限制访问,您还不会希望人员能够只需使用该文件的直接 URL 便可查看文件。相反,您希望他们只能通过使用 CloudFront URL 访问文件,以便您的保护有用。有关使用签名 URL 和签名 Cookie 的详细信息,请参阅使用签名 URL 和已签名的 Cookie 提供私有内容