piaroさんの投稿一覧

Ping-Tサイト内で「S3バケットポリシーでドメイン名によるアクセス制御が可能」といった趣旨の説明がありましたが、
厳密にはバケットポリシーではドメイン名を直接指定してアクセス制御を行うことはできません。

バケットポリシーで利用できるaws:Referer条件は、HTTPリクエストのRefererヘッダの値を参照しているだけであり、
これはクライアント側で容易に偽装（書き換え）可能な値です。
そのため、本当の意味で「特定ドメインからのアクセスのみを許可」する強固なセキュリティ制御にはなりません。

AWS公式ドキュメントでもこの点は明記されており、Refererによる制御は「最低限の直リンク防止や簡易的な制御」には役立ちますが、
厳密なドメインベースのアクセス制御を実現したい場合は、
CloudFrontや署名付きURL、WAFなどとの併用が推奨されています。

ご参考までに、下記AWS公式ドキュメントもご参照ください。
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-use-case-6

記述の修正または注釈をご検討いただけますと幸いです。

よろしくお願いいたします。