我一直在使用AWS Cloudfront,这个问题出现在我的脑海里:"在AWS上,OAI和IAM"用户"有什么区别?"我真正想问的是:"为什么OAI需要存在,为什么不能用IAM来代替?">
我确信一定有一些主要的差异和原因,但是有两种不同类型的"用户"真的让我在试图调试一个问题时:即从Cloudfront自动更新S3桶策略意味着OAI ID被放入策略中,我把它和Cloudfront ID混淆了,因为它们看起来很相似!
CloudFront Origin Access Identity (OAI)不是IAM用户,也不能作为IAM用户使用。OAI只是一个可以分配给CloudFront分发的标识,用于识别对S3源的请求。然后,S3源桶可以在桶策略中使用OAI,只允许来自具有该特定OAI的CloudFront发行版的请求。
OAI不能被分配任何其他角色、策略或权限,IAM用户不能分配给CloudFront分发。OAI存在的唯一原因是为CloudFront发行版提供更好的S3源安全性。
关于OAI的更多信息可以在以下链接找到:通过使用原始访问身份(OAI)限制对Amazon S3内容的访问- Amazon CloudFront