OAI和IAM在AWS上的‘用户’有什么不同？

Question

我一直在使用AWS Cloudfront，这个问题出现在我面前：“OAI和AWS上的IAM‘用户’有什么不同？”我在这里真正问的是：“为什么OAI需要存在，为什么不能使用IAM？”

我确信这肯定有一些主要的区别和原因，但是当我试图调试一个问题时，有两种不同类型的‘用户’真的让我大吃一惊:例如，从Cloudfront自动更新S3存储桶策略意味着OAI被放入策略中，而我把它和Cloudfront ID弄混了，因为它们看起来太相似了！

Answer 1

IAM源访问标识不是CloudFront用户，也不能作为用户使用。OAI只是一个标识，可以将其分配给CloudFront发行版，用于标识对S3源的请求。然后，S3源存储桶可以在存储桶策略中使用OAI值，从而只允许来自具有该特定OAI值的CloudFront发行版的请求。

不能为OAI分配任何其他角色、策略或权限，也不能将IAM用户分配给CloudFront分发。开放源码接口存在的唯一原因是为CloudFront发行版的S3源提供更好的安全性。

有关OAI的更多信息，请访问：Restricting access to Amazon S3 content by using an origin access identity (OAI) - Amazon CloudFront