为什么 cloundfront 签名的 URL 和 Cookie 需要 root 账户?

为什么 cloundfront 签名的 URL 和 Cookie 需要 root 账户?

根据本文档用于生成密钥对以供使用Cloudfront 签名 URL 和签名 Cookie生成或上传密钥对都需要根凭证。与 AWS 一起使用的其他密钥对(例如 EC2 身份验证密钥对)不需要特殊的根凭证。签署此类别对象(url、cookie)是否需要特殊权限?

我能找到的最接近答案的方法是将其比喻为其他类型的控制证明,例如在证书签名请求期间使用 DNS TXT 条目来证明对域的控制。在我看来,这仍然不符合当前案例中要求的根凭证,而且我不明白要求根凭证如何证明对任何实质性内容的所有权,而这超出了标准 IAM 用户所证明的内容。

我很感激任何见解。谢谢阅读。

答案1

没有明显的理由说明为什么仍然按照它的方式工作……但是当 CloudFront 签名的 URL 可用时在2009年,没有 IAM 用户。IAM 当时并不普遍可用至 2011 年

最初,根用户是每个 AWS 账户中的唯一用户。为什么后来没有更改此设计以支持授予 IAM 用户管理这些密钥对的权限,这一点既不清楚,也没有记录在案。

相关内容