Mục lục bài viết

Origin Access Control (OAC) là gì?

Origin Access Control (OAC) là một bản cập nhật được công bố vào năm 2022. Trước khi OAC được công bố, người dùng sử dụng Origin Access Identity (OAI).

OAC được công bố như là một phương thức kiểm soát truy cập khi sử dụng S3 làm nguồn của CloudFront. Các đặc điểm chính của Origin Access Identity (OAI) ban đầu được tóm tắt như sau:

– Không hỗ trợ các yêu cầu HTTP và HTTPS sử dụng phương thức POST ở các khu vực AWS có yêu cầu AWS Signature Version 4(SigV4)

– Không hỗ trợ SSE-KMS

OAC được công bố, hiện hỗ trợ :

– Hỗ trợ dynamic requests (POST, PUT) đến S3 bao gồm các khu vực chỉ hỗ trợ SigV4

– Hỗ trợ downloading và uploading các S3 objects được mã hóa bằng SSE-KMS

– OAC được hỗ trợ ở tất cả các khu vực bao gồm cả khu vực AWS

Ưu điểm của bản cập nhật

Với việc sử dụng OAC, chỉ hỗ trợ quyền truy cập từ CloudFront distributions được chỉ định. 

Tính năng này thường được sử dụng trong S3 nhưng hiện tại bạn có thể kiểm soát truy cập vào Lambda Function URLs một cách linh hoạt hơn.

Trước cập nhật, nhiều người dùng đã triển khai cấu hình như hình sau. Họ sử dụng Lambda để cấu hình kiểu xác thực IAM và gọi hàm đó bằng user/role đã xác thực. Khi đó, họ dùng Lambda@Edge để gọi, chi phí cho việc gọi hàm như vậy có vẻ khá cao.

CloudFront đã hỗ trợ Origin Access Control cho Lambda Functions URL

Tuy nhiên, nếu bạn lo lắng về chi phí và đặt xác thực thành None, thì có nguy cơ URL của hàm Lambda bị rò rỉ, URL có thể được thực thi bất cứ lúc nào. Với bản cập nhật này, khi OAC được hỗ trợ, SigV4 có thể được sử dụng, giúp tránh truy cập trực tiếp không mong muốn từ người dùng vào Lambda Function URLs.

Về mặt bảo mật, AWS Shield Standard giờ đây có thể bảo vệ chống lại các cuộc tấn công DDoS. Một lợi ích khác là nếu chuyển xác thực qua CloudFront OAC, tất cả các yêu cầu có thể được CloudFront phân phối ở tốc độ cao.