Origin Access Identity & Geo

  • Solo aplica para S3 origins.

  • OAI es un tipo de identidad, se pueden asociar a distribuciones CF.

  • Se puede filtrar a nivel de S3 que permita solo el OAI de CF.

Para proteger los Custom Origins (not S3)

  • Podemos hacer uso de Custom Headers

CF Geo Restrictions.

Datos a considerar para el examen, hay dos tipos de restricciones:

  • Cloudfront Geo restriction (Built in): Arquitectura de blacklist o whitelist. (Solo paises). Usa una base de datos que garantiza el 99.8% de efectvidad de geolocalizacion.

  • 3rd Party Geolocation: Es personalizable, puede usar 3rd parties geo location services, se puede restringir en base a browsers, usuarios, o el login state de una aplicacion.

Con GEO restriction hay 6 componentes a tomar en en cuenta

  1. Customers

  2. Device

  3. Internet

  4. GeoIP DB

  5. CF Edge Location

  6. CF Distribution.

Private Behaviors - Signed URL - Cookies

Las distribuciones (behavior) pueden ser:

  • Public: Acceso abierto a objetos, el contenido puede ser accedido por cualquier viewer.

  • Private: Los request deben ser hechos por una signed cookie o URL.

  • Las distribuciones son creadas con un behavior unico que puede ser privado o publico.

  • Para acceder contenido privado se necesita un signer, una vez se defina este puede proveer el contenido via url o cookie.

Hay 2 maneras de configurar el private behavior en cloudfront

  • OLD way: Se necesita primero un CF key, lo debe crear el root user. Esta atado al AWS account y no a una identidad. Una vez se realiza esto, la cuenta se agrega como TRUSTED SIGNER.

  • New way: Creacion de trusted key group y asignarlo como signers. Los key grupos determinan que keys pueden ser usados para crear signed URLS y signed cookies. No se necesita el root user para manejar.

Signed URLs vs Signed Cookies

  • SignedURLs da acceso a un objeto.

  • A Signed cookie es para mutiple files.

  • Historicamente las distribuciones RTMP (real time messaging protocol) no pueden usar cookies.

  • Usa url si el cliente no soporta cookies.

  • Cookies dan acceso a grupo de objetos.

  • Si quieres mantener el formato de la url debes usar signed cookies.

PreviousSSL/TLS & SNINextACM

Last updated