Mentransfer dari S3 melalui CloudFront

Transfer dari Amazon S3 dapat menggunakan distribusi Amazon CloudFront sebagai jalur keluar.

Transfer data melalui CloudFront dapat memperoleh manfaat dari biaya traffic keluar AWS yang lebih rendah dibandingkan dengan mentransfer langsung dari S3. Lihat Harga CloudFront dan biaya traffic keluar S3 untuk mengetahui detailnya.

Menggunakan CloudFront sebagai jalur keluar tidak mengekspos objek S3 Anda ke publik. Lihat Apakah menggunakan CloudFront mengekspos objek saya ke publik?

Ringkasan

Untuk mentransfer data S3 melalui CloudFront, Anda harus mengikuti langkah-langkah berikut:

• Mengonfigurasi izin IAM
• Mengonfigurasi akses ke bucket S3
• Membuat distribusi CloudFront untuk bucket S3
• Membuat tugas transfer

Mengonfigurasi Izin IAM

Ikuti petunjuk dalam Izin transfer tanpa agen untuk memberikan izin Google Cloud yang diperlukan.

Mengonfigurasi akses ke bucket S3

Ikuti petunjuk di Mengonfigurasi akses ke sumber: Amazon S3 untuk mengonfigurasi akses ke data Anda di Amazon S3.

Membuat distribusi CloudFront untuk bucket S3

1. Di akun AWS Anda, buka CloudFront.
2. Klik Create a CloudFront distribution.
3. Di bagian Origin domain, pilih bucket S3 Anda.
4. Jalur asal harus dibiarkan kosong.
5. Terima Nama asal yang terisi otomatis atau tentukan nilai Anda sendiri.
6. Di bagian Akses asal, pilih Publik. Tindakan ini tidak membuat bucket Anda menjadi publik; tetapi menunjukkan pada CloudFront bahwa tidak ada mekanisme akses yang harus dikonfigurasi.
7. Di bagian Cache key and origin requests:
   1. Untuk Kebijakan cache, pilih CachingDisabled. Hal ini mencegah CloudFront menyimpan permintaan dalam cache dan menayangkannya kepada pelihat yang tidak diautentikasi.
   2. Untuk Kebijakan permintaan asal, pilih AllViewerExceptHostHeader. Hal ini memungkinkan CloudFront meneruskan header autentikasi ke S3, sehingga Storage Transfer Service dapat mengakses bucket Anda dengan kredensial aman Anda.
8. Di bagian Web Application Firewall (WAF), pilih Do not enable.
9. Secara opsional, pilih Kelas harga. Storage Transfer Service memilih kumpulan pekerja berdasarkan region bucket sumber, sehingga harga CloudFront dikenakan di region tersebut. Untuk mendapatkan harga terendah, pastikan bucket sumber Anda berada di AS atau Eropa, atau pilih Use only North America and Europe sebagai Price class di CloudFront.

10. Klik Create CloudFront distribution.

    Setelah berhasil dibuat, halaman detail distribusi CloudFront akan ditampilkan.

11. Perhatikan Nama domain distribusi. Contoh: https://dy1h2n3l4ob56.cloudfront.net. Jika halaman detail tidak menyertakan protokol https:// di depan nama domain distribusi, Anda harus menambahkannya sendiri saat membuat tugas transfer.

Membuat tugas transfer

Mentransfer melalui distribusi CloudFront didukung di Konsol Google Cloud dan REST API.

"transferSpec": {
  "awsS3DataSource": {
    "bucketName": "AWS_SOURCE_NAME",
    "cloudfrontDomain": "https://dy1h2n3l4ob56.cloudfront.net",
    "awsAccessKey": {
      "accessKeyId": "AWS_ACCESS_KEY_ID",
      "secretAccessKey": "AWS_SECRET_ACCESS_KEY"
    }
  },
  ...
}

Pertanyaan umum (FAQ)

Apakah menggunakan CloudFront mengekspos objek saya ke publik?

Tidak. Jika Anda telah mengikuti langkah-langkah konfigurasi di halaman ini, objek Anda tidak akan terekspos ke publik.

• Cloudfront tidak memiliki akses langsung ke objek S3 Anda.
• Pengguna akan menerima error permission denied jika mereka mencoba mengakses objek Anda, baik secara langsung maupun melalui CloudFront (jika bucket Anda bersifat pribadi).
• Storage Transfer Service menandatangani permintaan ke CloudFront menggunakan kredensial yang Anda berikan dalam tugas transfer, yang memungkinkan kami mendownload objek Anda dengan aman seolah-olah kami mendownload langsung dari S3. Hal ini berfungsi karena setelan penerusan header AllViewerExceptHostHeader.