aws-cloudfront-s3-lambda cross-account access
cloudfront - s3 를 이용하게되면 결국 OAI를 이용한 Bucket policy를 사용하게 된다. 단일 계정에서 사용할 경우엔 cloudfront 에서 자동으로 생성까지 해주므로 어려울것이 전혀없다. 그런데 이제 이게 파트너사를 통해서 cloudfront 전용계정을 사용하게 된다던거 multi account 로 프로젝트를 진행할경우 자동으로 생성이 되지 않는다. 이 경우에 어떤방식으로 s3 Bucket policy 를 설정해야 하는지 포스팅하려 한다. 먼저 Bucket policy 를보자 { “Version”: “2012-10-17”, “Id”: “PolicyForCloudFrontPrivateContent”, “Statement”: [ { “Sid”: " Grant a CloudFront Origin Identity access to support private content", “Effect”: “Allow”, “Principal”: { “AWS”: [ “arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity E39X8K28W3EQ” ] }, “Action”: “s3:GetObject”, “Resource”: “arn:aws:s3:::*” } ] } ...