Amazon S3 grubu için SSL nasıl yapılandırılır


Yanıtlar:


151

Dosyalarınıza şu şekilde SSL üzerinden erişebilirsiniz:

https://s3.amazonaws.com/bucket_name/images/logo.gif

Grubunuz için özel bir alan adı kullanıyorsanız, S3 ve CloudFront'u kendi SSL sertifikanızla birlikte kullanabilir (veya Amazon Sertifika Yöneticisi aracılığıyla ücretsiz bir alan adı oluşturabilirsiniz): http://aws.amazon.com/cloudfront/custom-ssl- alan adları /


42
Bu tamamen doğru değil. Noktasız kova adlarını kullanabilirsiniz: this-is-my-awesome-bucket.s3.amazonaws.com Amazon'un joker karakter sertifikası var. Noktaları kullanamayacağınız için grubunuza işaret eden bir CNAME alan adınız olamaz.
Docunext

4
nokta içeren grup isimlerine dikkat edin! SSL iOS cihazlarda çalışmaz, ancak Chrome'da iyi çalışır. Bkz. Stackoverflow.com/questions/3048236/…
Simon_Weaver

1
Amazon CloudFront bunu sizin için yapacak.
Greg

3
Nokta gösterim grubu adlarına sahip olmak için (Route 53 diğer adını kullanabilirsiniz) ve nesneleri REST yoluyla koymak istediğinizde, ana bilgisayar adının bölgeyle eşleştiğinden emin olun. Örneğin, benim kova içinde us-west-2yani ana bilgisayar adı aslında s3-us-west-2.amazonaws.comaksi takdirde bir hata alırsınız.
noetix

1
Cloudfront olmadan bunu başarabilir miyiz?
Arun Kumar

28

Özel alan adı SSL sertifikaları bugün 600 $ / cert / ay için yeni eklendi. Davetinize aşağıdan kaydolun: http://aws.amazon.com/cloudfront/custom-ssl-domains/

Güncelleme : Müşteri tarafından sağlanan SNI sertifikaları artık mevcut ücretsizdir. Ayda 600 dolardan çok daha ucuz ve XP neredeyse öldürülürken, çoğu kullanım durumunda iyi çalışmalıdır.

@skalee AWS, posterin istediği, "Amazon s3 kovası için SSL uygulama" olarak adlandırılan bir mekanizmaya sahiptir CloudFront. Ben "uygulamak" olarak okumak benim SSL sertifikaları kullanmak, "değil" sadece bir URL koymak URL emin olabilirim ki OP tahmin.

CloudFront'un maliyeti S3 (0,12 $ / GB) ile tam olarak aynı olduğundan, ancak SSL çevresinde bir ton ek özelliğe sahip olduğundan ve ek ücret ödemeden kendi SNI sertifikanızı eklemenize izin verdiği için, alan adınıza "SSL uygulamak" için açık bir çözümdür.


64
CloudFront S3 değil.
skalee

6
@skalee Doğru, ancak OP'nin istediği gibi özel SSL sertifikalarına sahip bir alan aracılığıyla erişmek istiyorsanız, bu şekilde özel CNAME SSL sertifikaları oluşturabilir ve CF aracılığıyla erişebilirsiniz.
Joseph Lust

2
Şimdilik iki CNAME kurdum: birincisi doğrudan S3'ümü, ikincisi CF'yi gösteren static-s3 ve static-cf. Birincisi SSL'yi destekleyemez, ikincisi olabilir, ancak skalee'nin işaret ettiği gibi CF ve S3 değil. Şimdilik yapabileceğimizin en iyisi bu.
Tehlike

2
WOW Sanırım giderek daha ucuz depolama maliyetlerini telafi etmek zorundalar. en azından gerçi orantılı. SSL sertifikanızı ayda 1 saat boyunca yalnızca 20 ABD doları tutarında kullanırsanız ;-)
Simon_Weaver

1
Özel bir SSL sertifikanız (SNI sertifikası değil) varsa, bu makinenin maliyete neden olan özel bir IP'ye ihtiyacı vardır. muhtemelen S3'ün verilerinizi barındırdığı dünyadaki her konum için sizin için özel bir IP gereklidir. Böylece bu toplanır. Ama bence sadece post insanlar buna ihtiyacım yok ve bunu yapanlar için fiyat jack olabilir. IE6'yı desteklemeniz gerekmiyorsa, CloudFront altında SNI sertifikası ile iyi olmalısınız.
Simon_Weaver

11

Bunu Cloud Flare hizmeti aracılığıyla kolayca yapabileceğinizi buldum.

Bir kova oluşturun, kova üzerinde web barındırma özelliğini etkinleştirin ve istenen CNAME'yi Cloudflare aracılığıyla bu uç noktaya yönlendirin ... ve elbette hizmet için ödeme yapın ... ancak 5- $ 20 VS 600 $ mide midesi çok daha kolaydır.

Burada tüm ayrıntılar: https://www.engaging.io/easy-way-to-configure-ssl-for-amazon-s3-bucket-via-cloudflare/


1
Rehberimi buradan deneyin: engaging.io/…
Ralph Vugts

3

Gerçekten ihtiyacınız varsa, yönlendirmeleri düşünün.

Örneğin, istek üzerine için assets.my-domain.example.com/path/to/filesize bir 301 veya 302 yeniden yönlendirme işlemi olabilir my-bucket-name.s3.amazonaws.com/path/to/fileveya s3.amazonaws.com/my-bucket-name/path/to/filebirinci durumda lütfen unutmayın ( my-bucket-nameaksi takdirde uymayacak hiçbir nokta içeremez*.s3.amazonaws.com, s3.amazonaws.com S3 sertifikasında belirtilmiştir).

Test edilmedi, ama işe yarayacağına inanıyorum. Ancak, çok az yakaladım.

İlki oldukça açık, bu yönlendirmeyi almak için ek bir istek. Ve alan adı kayıt siteniz tarafından sağlanan yeniden yönlendirme sunucusunu kullanabileceğinizden şüpheliyim - bir şekilde oraya uygun sertifika yüklemeniz gerekir - bu nedenle bunun için kendi sunucunuzu kullanmanız gerekir.

İkincisi, sayfa kaynak kodunda alan adınızla URL'lere sahip olabilmenizdir, ancak örneğin kullanıcı resmi ayrı bir sekmede açtığında, adres çubuğunda hedef URL gösterilir.


2
Emin değilim ama bunun CORS problemlerine neden olabileceğini düşünüyorum.
xdhmoore

3

Doğrudan S3 ile mümkün değildir, ancak kovanınızdan bir Cloud Front dağıtımı oluşturabilirsiniz. Ardından sertifika yöneticisine gidin ve sertifika isteyin. Amazon onlara ücretsiz veriyor. Sertifikayı başarıyla onayladınız, Cloud Front dağıtımınıza atayın. Ayrıca http'yi https'ye yeniden yönlendirecek kuralı ayarlamayı da unutmayın.

Amazon S3'te, Cloud Front dağıtımına sahip oldukları için SSL sertifikası atadığım kişisel web sitem gibi birkaç statik web sitesi barındırıyorum.


ve alan adını nasıl atadınız?
netshark1000

Önce sertifika yöneticisine gidin ve yeni bir sertifika isteyin. Alan adınızı buraya ekleyin ve gerekirse alt alan adlarını da ekleyin. Alt alan adlarını oraya yerleştirmek için hiçbir şeye zarar vermez, bu yüzden example.com ve * .example.com'u oraya koyabilirsiniz.
Mika Kujapelto

0

Daha önce de belirtildiği gibi, S3 kovaları için ücretsiz sertifika oluşturamazsınız. Ancak Cloud Front dağıtımı oluşturabilir ve bunun yerine Cloud Front için sertifika atayabilirsiniz. Etki alanınız için sertifika istersiniz ve ardından Cloud Front ayarlarında Cloud Front dağıtımına atarsınız. Bu yöntemi SSL üzerinden statik web sitelerine ve statik dosyalara hizmet etmek için kullandım.

Statik web sitesi oluşturmak için Amazon bir yer. SSL ile statik bir web sitesi almak gerçekten uygun fiyatlı.


2
Buraya google kullanarak gelen herkes için: AWS sertifikanızı (ayrıca) N. Virginia bölgesinde oluşturmayı unutmayın. Aksi takdirde CF dağıtımınızda
seçemezsiniz
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.