Mentransfer dari S3 melalui CloudFront

Transfer dari Amazon S3 dapat menggunakan distribusi Amazon CloudFront sebagai jalur keluar.

Transfer data melalui CloudFront dapat memperoleh manfaat dari biaya egress AWS yang lebih rendah dibandingkan dengan mentransfer langsung dari S3. Lihat harga CloudFront dan biaya keluar S3 untuk mengetahui detailnya.

Menggunakan CloudFront sebagai jalur keluar tidak mengekspos objek S3 Anda ke publik. Lihat Apakah penggunaan CloudFront mengekspos objek saya ke publik?

Ringkasan

Untuk mentransfer data S3 melalui CloudFront, Anda harus mengikuti langkah-langkah berikut:

• Mengonfigurasi izin IAM
• Konfigurasi akses ke bucket S3 Anda
• Membuat distribusi CloudFront untuk bucket S3 Anda
• Membuat tugas transfer

Mengonfigurasi Izin IAM

Ikuti petunjuk di Izin transfer tanpa agen untuk memberikan izin Google Cloud yang diperlukan.

Mengonfigurasi akses ke bucket S3

Ikuti petunjuk di Mengonfigurasi akses ke sumber: Amazon S3 untuk mengonfigurasi akses ke data Anda di Amazon S3.

Buat distribusi CloudFront untuk bucket S3 Anda

1. Di akun AWS Anda, buka CloudFront.
2. Klik Create a CloudFront distribution.
3. Di bagian Origin domain, pilih bucket S3 Anda.
4. Jalur asal harus dibiarkan kosong.
5. Setujui Nama asal yang diisi otomatis atau tentukan nilai Anda sendiri.
6. Di bagian Akses origin, pilih Publik. Tindakan ini tidak membuat bucket Anda menjadi publik; melainkan menunjukkan kepada CloudFront bahwa tidak ada mekanisme akses yang harus dikonfigurasi.
7. Di bagian Permintaan asal dan kunci cache:
   1. Untuk Cache policy, pilih CachingDisabled. Hal ini mencegah CloudFront meng-cache permintaan dan menayangkannya kepada penonton yang tidak diautentikasi.
   2. Untuk Origin request policy, pilih AllViewerExceptHostHeader. Hal ini memungkinkan CloudFront meneruskan header autentikasi ke S3, sehingga Storage Transfer Service dapat mengakses bucket Anda dengan kredensial aman Anda.
8. Di bagian Web Application Firewall (WAF), pilih Jangan aktifkan.
9. Jika mau, pilih Kelas harga. Storage Transfer Service memilih kumpulan pekerja berdasarkan region bucket sumber, sehingga harga CloudFront dikenakan di region tersebut. Untuk mendapatkan harga terendah, pastikan bucket sumber Anda berada di AS atau Eropa, atau pilih Gunakan hanya Amerika Utara dan Eropa sebagai Kelas harga di CloudFront.

10. Klik Create CloudFront distribution.

    Setelah berhasil dibuat, halaman detail distribusi CloudFront akan ditampilkan.

11. Catat Nama domain distribusi. Contoh: https://dy1h2n3l4ob56.cloudfront.net. Jika halaman detail tidak menyertakan protokol https:// di depan nama domain distribusi, Anda harus menambahkannya sendiri saat membuat tugas transfer.

Membuat tugas transfer

Transfer melalui distribusi CloudFront didukung di konsol Google Cloud dan REST API.

"transferSpec": {
  "awsS3DataSource": {
    "bucketName": "AWS_SOURCE_NAME",
    "cloudfrontDomain": "https://dy1h2n3l4ob56.cloudfront.net",
    "awsAccessKey": {
      "accessKeyId": "AWS_ACCESS_KEY_ID",
      "secretAccessKey": "AWS_SECRET_ACCESS_KEY"
    }
  },
  ...
}

Pertanyaan umum (FAQ)

Apakah penggunaan CloudFront mengekspos objek saya ke publik?

Tidak. Jika Anda telah mengikuti langkah-langkah konfigurasi di halaman ini, objek Anda tidak diekspos ke publik.

• Cloudfront tidak memiliki akses langsung ke objek S3 Anda.
• Pengguna akan menerima error permission denied jika mereka mencoba mengakses objek Anda baik secara langsung maupun melalui CloudFront (jika bucket Anda bersifat pribadi).
• Storage Transfer Service menandatangani permintaan ke CloudFront menggunakan kredensial yang Anda berikan dalam tugas transfer, yang memungkinkan kami mendownload objek Anda secara aman seolah-olah kami mendownload langsung dari S3. Hal ini berfungsi karena setelan penerusan header AllViewerExceptHostHeader.