Для сегмента не могут быть установлены общедоступные списки ACL с включенным BlockPublicAccess

Я хочу создать облако и S3, а затем внести журнал в S3.

Итак, мой код выглядит следующим образом:

const bk = new s3.Bucket(this, `cm-st-cloudfront-bk`, { 
  bucketName: s3_name,
  removalPolicy: RemovalPolicy.DESTROY,
  autoDeleteObjects: true,
  blockPublicAccess: s3.BlockPublicAccess.BLOCK_ALL,
  //
  encryption: s3.BucketEncryption.S3_MANAGED,
  versioned:true,
});

const oai = new cloudfront.OriginAccessIdentity(this, `my-oai`,{
  comment:`Access identity for ${targetEnv}`
});

const cf = new cloudfront.CloudFrontWebDistribution(this, `Website-${targetEnv}-Distribution`, {
  comment:`CF for resource S3 ${targetEnv}`,
  viewerCertificate: {
    aliases: [],
    props: {
      cloudFrontDefaultCertificate: true,
    },
  },
  errorConfigurations: [
    {
      errorCode: 403,
      responsePagePath: "/index.html",
      responseCode: 200,
      errorCachingMinTtl: 0,
    },
    {
      errorCode: 404,
      responsePagePath: "/index.html",
      responseCode: 200,
      errorCachingMinTtl: 0,
    },
  ],
  loggingConfig: {
    bucket: bk,
    prefix: "cloudfront/",
  },
});

В этой настройке возникает эта ошибка.

Bucket cannot have public ACLs set with BlockPublicAccess enabled

Поэтому я меняю

blockPublicAccess: s3.BlockPublicAccess.BLOCK_ALL,

//blockPublicAccess: s3.BlockPublicAccess.BLOCK_ALL,

Однако происходит та же ситуация.

Bucket cannot have public ACLs set with BlockPublicAccess enabled

Как я могу решить эту проблему, и мне интересно, невозможно ли для Cloudfront войти в S3 с включенным Block public access?

Благодаря ответу @Dhruv я изменился вот так:

const bk = new s3.Bucket(this, `cm-st-cloudfront-bk`, { 
  bucketName: s3_name,
  removalPolicy: RemovalPolicy.DESTROY,
  autoDeleteObjects: true,
  blockPublicAccess: s3.BlockPublicAccess.BLOCK_ACLS
  encryption: s3.BucketEncryption.S3_MANAGED,
  versioned:true,
});
bk.addToResourcePolicy(new iam.PolicyStatement({
  actions: ['s3:PutObject'],
  effect: iam.Effect.ALLOW,
  resources: [bk.arnForObjects('*')],
  principals: [new iam.ServicePrincipal('delivery.logs.amazonaws.com')],
}));
const oai = new cloudfront.OriginAccessIdentity(this, `my-oai`,{
  comment:`Access identity for ${targetEnv}`
});

const cf = new cloudfront.CloudFrontWebDistribution(this, `Website-${targetEnv}-Distribution`, {
  comment:`CF for resource S3 ${targetEnv}`,
  viewerCertificate: {
    aliases: [],
    props: {
      cloudFrontDefaultCertificate: true,
    },
  },
  errorConfigurations: [
    {
      errorCode: 403,
      responsePagePath: "/index.html",
      responseCode: 200,
      errorCachingMinTtl: 0,
    },
    {
      errorCode: 404,
      responsePagePath: "/index.html",
      responseCode: 200,
      errorCachingMinTtl: 0,
    },
  ],
  loggingConfig: {
    bucket: bk,
    prefix: "cloudfront/",
  },
});

Теперь возникает эта ошибка, Invalid request provided: The S3 bucket that you specified for CloudFront logs does not enable ACL access

typescript amazon-web-services amazon-s3 aws-cdk

29.04.2024 08:21

Зод: сила проверки и преобразования данных

Сегодня я хочу познакомить вас с библиотекой Zod и раскрыть некоторые ее особенности, например, возможности валидации и трансформации данных, а также...

Как заставить Remix работать с Mantine и Cloudflare Pages/Workers

Мне нравится библиотека Mantine Component , но заставить ее работать без проблем с Remix бывает непросто.

Угловой продивер

Оригинал этой статьи на турецком языке. ChatGPT используется только для перевода на английский язык.

TypeScript против JavaScript

TypeScript vs JavaScript - в чем различия и какой из них выбрать?

Синхронизация localStorage в масштабах всего приложения с помощью пользовательского реактивного хука useLocalStorage

Не все нужно хранить на стороне сервера. Иногда все, что вам нужно, это постоянное хранилище на стороне клиента для хранения уникальных для клиента...

Что такое ленивая загрузка в Angular и как ее применять

Ленивая загрузка - это техника, используемая в Angular для повышения производительности приложения путем загрузки модулей только тогда, когда они...

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Это связано с тем, что CloudFront требуется доступ на запись в корзину S3 для хранения журналов доступа.

Вы можете настроить политику корзины S3, чтобы разрешить доступ на запись только из субъекта-службы ведения журналов CloudFront. Вы можете изменить определение корзины S3, чтобы CloudFront мог записывать журналы, но при этом блокировал публичный доступ:

// Allow CloudFront logging service principal to write access logs to the bucket
bk.addToResourcePolicy(new iam.PolicyStatement({
  actions: ['s3:PutObject'],
  effect: iam.Effect.ALLOW,
  resources: [bk.arnForObjects('*')],
  principals: [new iam.ServicePrincipal('delivery.logs.amazonaws.com')],
}));

Большое спасибо, сейчас для этого создается новая политика, но возникает другая ошибка The S3 bucket that you specified for CloudFront logs does not enable ACL access.

— 29.04.2024 11:16

Используйте blockPublicAccess: s3.BlockPublicAccess.BLOCK_ALL в конфигурации сегмента.

— 29.04.2024 12:41

Спасибо, я использовал objectOwnership: s3.ObjectOwnership.BUCKET_OWNER_PREFERRED вместо blockPublicAccess: s3.BlockPublicAccess.BLOCK_ALL, и это работает.

— 30.04.2024 13:15

29.04.2024 10:08