...
需要注意的是,如果我们只想给通过cloudfront 让其他人访问某些目录下的资源,其他目录的资源依旧是vpc之间代码访问或者内网访问。
需要对策略文件中的这个路径进行修改"Resource": "arn:aws:s3:::shawn-uat/*",需要对这个路径进行修改,指定允许通过cdn访问的目录,如下面策略所示指定了桶的指定允许通过cdn访问的目录,如下面策略所示指定了桶的 pic1和 pic2目录下的文件可以通过 cdn 访问;
| Code Block |
|---|
{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipal",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::shawn-uat/pic1/*",
"arn:aws:s3:::shawn-uat/pic2/*"
],
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::893420598334:distribution/E1Y22YBY7JPKJ6"
}
}
}
]
} |
8.s3桶有以下文件:
测试访问路径:
https://d31k00r8qiux4n.cloudfront.net/pic1/boat.jpg (pic1路径下可访问)
...