Я только начинаю с разрешениями на AWS S3 и Cloudfront, поэтому, пожалуйста, будьте осторожны со мной.

Два основных вопроса:

Я хотел бы разрешить доступ некоторым пользователям (например, тем, кто вошел в систему), ноне другие. Я предполагаю, что мне нужно использовать ACL вместо политики сегмента, так как первый более настраиваемый, так как вы можете идентифицировать пользователя в URL с параметрами запроса. Прежде всего это правильно? Может ли кто-нибудь указать мне наясных английское описание того, как сделать это на основе файла / пользователя к файлу / пользователя? Документация по ACL смущает меня.

Я также хотел бы ограничить доступ таким образом, чтобы люди могли просматривать контент только на my-site.com, а не your-site.com. к несчастьюполитика ведра примера документации S3 поскольку это не влияет на доступ к моей демонстрационной корзине (см. код ниже, немного адаптированный из документов AWS). Более того, если мне нужно в первую очередь сосредоточиться на разрешении доступа для каждого пользователя, хочу ли я вообще определять политику сегмента?

Я понимаю, что я даже не касаюсь того, как заставить это работать в контексте Cloudfront (конечная цель), но любые мысли по вопросам 1 и 2 будут с благодарностью приняты, и упоминание Cloudfront будет бонусом на этом этапе.

`

{
    "Version": "2008-10-17",
     "Id":"http referer policy example",
    "Statement": [
        {
            "Sid": "AllowPublicRead",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::my-bucket/*",
            "Condition": {
                "StringLike": {
                    "aws:Referer": [
                        "https://mysite.com/*",
                        "https://www.mysite.com/*"
                    ]
                }
            }
        }
    ]
}