it-swarm.com.de

https on S3 OHNE Cloudfront möglich?

Wir möchten derzeit beginnen, alle unsere Assets über AWS S3 zu hosten, und wir möchten auch alles über https abwickeln. Ich verstehe, dass ich den Amazon Certificate Manager (ACM) mit Cloudfront für Server-Assets über https verwenden kann. Das Problem ist, dass wir in der medizinischen Industrie tätig sind und es uns gesetzlich untersagt ist, außerhalb der EU irgendetwas zu beherbergen. Mit S3 kann ich einen Standort auswählen (Frankfurt für uns), aber mit Cloudfront bekomme ich nur diese Option:

 enter image description here

Also dachte ich, ich könnte vielleicht Letsencrypt benutzen, um meine eigenen Zertifikate zu generieren. Ich denke, ich muss dann noch ACM verwenden, das nur mit Cloudfront funktioniert, was bedeutet, dass ich es immer noch nicht verwenden kann.

Weiß jemand, ob ich S3 mit https aber ohne cloudfront irgendwie einrichten kann?

18
kramer65

Leider können Sie kein SSL-Zertifikat mit Ihrer benutzerdefinierten Domäne mit S3 verwenden. Sie können die S3-Domäne mit dem Amazon-SSL-Zertifikat wie folgt verwenden: https://my-example-bucket.s3-website-us-east-1.amazonaws.com.

Wenn Sie eine benutzerdefinierte Domäne mit SSL verwenden möchten und CloudFront nicht verwenden können, müssen Sie vor S3 einen anderen Proxy wie Ihren eigenen Nginx-Server oder etwas anderes installieren.

12
Mark B

In AWS API Gateway können Sie eine proxy - Ressource /{proxy+} erstellen, die s3-website zugeordnet ist.

Stellen Sie sicher, dass Sie nicht s3 allein, sondern s3-website zuordnen, damit PATH/TO/DIR/index.html für PATH/TO/DIR zurückgegeben wird und möglicherweise andere Dinge wie gewünscht funktionieren.

Das API-Gateway wird über HTTPS bereitgestellt, optional unter Ihrer eigenen Domäne.

Dies ist jedoch keine sehr gute Option, da Sie alle zulässigen HTTP-Rückkehrcodes manuell hinzufügen müssen. In einer Anforderung gibt es ein Limit von 10 MB Nutzlast, da dieser Dienst auf REST -APIs abzielt.

1
atablash

Ja ist es. Sie müssen nur Ihren Bucket öffentlich machen und dann Route 53 konfigurieren. Angenommen, Ihr Bucket befindet sich auf www.example.com in der Region us-east-1 und ist unter dieser URL verfügbar

http://www.example.com.s3-website-us-east-1.amazonaws.com/

Fügen Sie einfach in der von example.com gehosteten Zone auf Route53 einen CNAME wie hinzu

www -> www.example.com.s3-website-us-east-1.amazonaws.com

0
Gianluca Casati

CloudFront bietet eine Funktion für White-/Blacklisting-Länder. Ich würde versuchen, eine der drei aufgeführten CDN-Optionen zusammen mit einer Whitelist der EU-Länder zu verwenden. Ich bin nicht sicher, wie man am einfachsten nachprüfen kann, ob andere Länder (z. B. USA) abgelehnt werden.

0
ross

Unten finden Sie einen nützlichen Ressourcenplan. Sowohl S3 als auch CloudFront sind in der EU verfügbar. Sie können S3 sicherlich über CloudFront präsentieren. 

Ich verstehe die Anforderungen an Host innerhalb einer territorialen Grenze. Die Anforderungen, die Sie mit S3 in der EU-Region erreichen werden. CloudFront ist kein Hosting-Service, sondern ein CDN (Content Delivery Network), das Hochleistungs-Standleitungen und verwaltbares Endpoint-Caching verwendet. Das Problem, das Sie betrachten, betrifft die Preisoptionen, nicht den Hosting-Standort. Wenn Sie Inhalte in der EU bereitstellen möchten, möchten Sie "Preisklasse 100" oder "Preisklasse Alle".

Wenn Sie CloudFront verwenden, können Sie sowohl festlegen, welche IP-Bereiche auf Ihr Material zugreifen können, als auch die Verschlüsselung des Front-End- und Back-End-Verkehrs. Sehen Sie sich einige Designmuster an

Es gibt einige hervorragende Whitepapers und Designmuster für die Einrichtung sicherer CloudFront. Ich denke, Sie werden feststellen, dass Sie tun können, was Sie wollen, und innerhalb der gesetzlichen Bestimmungen bleiben. 

http://docs.aws.Amazon.com/general/latest/gr/rande.html#s3_regionhttps://aws.Amazon.com/compliance/eu-data-protection/

Schauen Sie sich auch das AWS-Dokument "using-https-cloudfront-to-s3-Origin" & "custom-ssl-domains" an.

P.S. Stellen Sie sicher, dass Sie die Bucket-Berechtigungen so einstellen, dass sie nur über den CloudFront-Kanal verfügbar sind. 

RL

0
Polymath