→オリジンアクセスアイデンティティ(OAI)を作成
・オリジンアクセスアイデンティティ(OAI)を作成します。OAIをCloudFrontディストリビューションに割り当てます。S3バケットのパーミッションを設定し、OAIのみが読み取り権限を持つようにします
この選択肢が正解の理由は以下の通りです。
まず、オリジンアクセスアイデンティティ(OAI)はCloudFrontの特徴で、これを利用するとCloudFrontからの要求のみをS3バケットに許可し、S3 URLへの直接アクセスをブロックすることができます。これが要件の「S3 URLへの直接のナビゲーションを通じてファイルにアクセスされることを望んでいません」を満たす重要な要素となります。
また、OAIをCloudFrontディストリビューションに関連付けることで、S3バケットに対するアクセスは指定されたCloudFrontディストリビューションを経由しなければなりません。これにより、アプリケーションはエンドユーザーに対してCloudFrontディストリビューション経由でファイルを提供し、S3バケットに直接アクセスさせないという要件も満たすことができます。
そして、S3バケットのパーミッションを設定し、OAIのみが読み取り権限を持つようにすることで、CloudFront以外からの不正なアクセスを防ぐことができ、セキュリティを強化できます。
コメント