He visto las respuestas a preguntas similares, pero me pregunto si en 2017 cuál es la mejor forma de configurar CORS para S3 / CF si quisiera restringir el acceso legítimo a * .domain.tld. El Javascript se está cargando desde CF y representa una aplicación web que utiliza solicitudes Ajax para api.domain.tld.

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*.domain.tld</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>HEAD</AllowedMethod>
        <AllowedMethod>OPTIONS</AllowedMethod>
        <MaxAgeSeconds>3000</MaxAgeSeconds>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

¿Hay algo más que pueda agregar para mejorar la configuración de CORS?