我们是否可以将位于 AWS Gov 云上的非公有 s3 存储桶连接到非政府云 AWS 账户上的云前台分配。任何地方都没有给出太多文档或步骤。
我们确实尝试将其与 s3 存储桶策略中的规范账户 ID、Cloudfront Origin 连接。但到目前为止没有任何效果。
这是不可能的还是有办法实现这一目标?
编辑:
我问这个问题是因为AWS文档中有一部分讨论了在cloudfront上拥有gov-cloud s3内容的技巧。但它没有关于如何做到这一点的细节。
链接: https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront-tips.html
很难看出这怎么可能。
AWSGovCloud区域在物理上是隔离的,包括与所有其他 AWS 区域的逻辑网络隔离,但非常具体的服务终端节点除外。
以下是官方 AWS 文档中提供的另一种解决方案: https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-serve-static-website/
对于源自定义标头,在标头名称下,输入引用。在值下,输入要转发到源(S3 存储桶(的自定义标头。要限制对源的访问,您可以输入只有您知道的随机或机密值。
基本上,Cloudfront 将使用包含密钥值的自定义标头,govcloud 上的 S3 存储桶将使用自定义策略进行公有读取访问,以仅允许标头中的此密钥值。 不要忘记在 cloudfront 和您的 govcloud s3 存储桶之间强制使用 HTTPS,并设置了仅限 https。