amazon-web-services - Cloudfront 如何分发 AWS KMS 密钥以获取静态加密的 S3 图像？

这在以前是不可能的，因为 CloudFront 不支持它，并且因为（正如我在对 John 的回答的评论中提到的那样——这是在正确的轨道上）没有办法使用 Lambda@Edge 推出自己的解决方案，因为X-Amz-Cf-Id请求标头——在 CloudFront 的背面生成并且仅对 S3 可见，对触发器调用不可见——将使您尝试添加到 Lambda@Edge 触发器内的请求的任何签名无效，因为所有X-Amz-*标头的签名都是强制性的。

但是X-Amz-Cf-Id标头值现在暴露给事件结构中的 Lambda@Edge 触发器函数——不是与其他请求标头一起，而是作为一个简单的字符串属性——在event.Records[0].cf.config.requestId.

有了这个值，您可以在 Lambda@Edge 环境中使用执行角色凭证和内置 SDK 来生成签名并添加必要的标头（包括Authorization带有派生凭证标识符和新生成签名的标头）到请求。

此设置不使用源访问标识符 (OAI)，因为使用 Lambda@Edge 触发器的 IAM 执行角色而不是 OAI 来说服 S3 请求已获得授权。

Achraf Souk 发布了一篇官方 AWS 博客文章，从头到尾解释了该解决方案。

https://aws.amazon.com/blogs/networking-and-content-delivery/serving-sse-kms-encrypted-content-from-s3-using-cloudfront/