我让CloudFront只提供图像-存储在S3中,但通过CloudFront提供服务。Web应用程序是单独托管的。
我需要AWS WAF吗?或者当只提供图像时WAF添加了什么?
根据您的需求,WAF添加了一些东西:
- 它可以帮助机器人或其他自动客户端远离您的图像。
- 任何到S3的GET请求(即使是404)都会产生费用。因此WAF可以介入并帮助防止机器人扫描漏洞或涉及过度请求的任何类型的攻击所造成的这些过度收费。Cloudfront可能会在一定程度上缓冲你,但我认为WAF会做得更好。
所以我认为有一个ACL,包括(至少)速率限制,也许基线规则组将是好的。你也可以通过地理阻塞,但CF有单独的。
值得一提的是,利用原始访问控制(OAC)很重要,这是一种更新的(截至2022年8月)方法,可以保持bucket私有并防止直接请求到S3。