Amazon web services 亚马逊云端。可信签名者的使用

我们正在使用cloudfront为s3资源提供服务，它受到限制。 在c#中，当使用“AmazonCloudFrontUrlSigner.SignUrlCanding”创建预签名url时，它只要求使用根凭据生成的cloudfront私钥，而不要求IAM用户凭据

---

在分发行为中，我可以看到有一个选项可以指定“受信任的签名者”，但无法理解在哪里使用它。这方面的任何信息都会很好。还有一种方法可以使用IAM用户凭据生成预先签名的cloudfront url吗

CloudFront不支持使用IAM凭据生成签名URL，也不使用其他AWS服务通用的签名算法

然而，该过程是完全记录的。CloudFront有自己的方法代表您的用户访问S3中的私有对象——源访问标识——并且在显示签名URL或签名Cookie时，将透明地使用此机制，该URL或Cookie是使用与可信签名者关联的密钥对生成的

---

有关机制和配置演练的说明，请参阅。

Cloudfront确实使用IAM生成签名URL。在发行版中，有一个针对受信任签名者的配置，您可以在其中添加其他帐户ID，以便允许这些帐户生成签名URL。这意味着受信任的签名者可以使用自己生成的密钥对对分发的url进行签名

您为CloudFront发行版配置的任何受信任的签名者都需要为其帐户设置自己的CloudFront密钥对，以便对您的CloudFront私有内容的请求进行签名

---

此密钥对与帐户关联，在任何时间点最多只能有一个活动密钥对

您的IAM用户是否有权访问Cloudfront发行版？是，我的IAM用户有权访问它。Cloudfront密钥对是使用根凭据创建的。我仍然不明白我们在哪里使用“可信签名者”。在控制台信息图标中，它显示“选择是否要使用当前AWS帐户和/或其他AWS帐户来创建签名URL或签名cookie”。但是，在创建签名url时，我们只使用cloudfront密钥对私钥，而不使用AWS帐户id。此外，帐户的访问密钥和密钥也不在使用位置。密钥对由您使用AWS帐户的根凭据创建，cloudfront使用它来标识您的AWS帐户。此后，在CloudFront URL签名过程中不会使用AWS凭据，因为密钥对在首次创建时链接到您的AWS帐户，除非您使其无效，否则将保持链接到该帐户。将您自己的AWS帐户设置为受信任的签名者意味着与您的帐户关联的任何CloudFront密钥对都可以用于对CloudFront URL进行签名。CloudFront不像AWS的其他部分那样集中在“区域”，因此除了资源调配之外，不使用IAM。另一个正确答案是否决票，但没有解释。这让我很困惑。