CDPのパターンがある。

CDP:Private Cache Distributionパターン - AWS-CloudDesignPattern

アバウトな手順は

0.S3のバケットに対して、

　CFからしかアクセス受けないような設定をしておく

　→CFのAPI叩いて設定必要

1.Webサーバ(EC2)等で特定のユーザ向けに、

　一部が暗号化(正しくは署名)されたURLを生成する

・特定のユーザといいつつも「接続元IPアドレス」「URLの有効期間」にて指定

・Webサーバには秘密鍵登録して、URL生成ロジックを実装しておくこと

2.エンドユーザは指定されたURLにアクセス

3.CFはあらかじめ登録してある公開鍵でURLを復号(正しくは署名検証)

　IPアドレスや有効期限チェックしてOKなら該当のファイルを返却

・Webコンソールのアカウント管理>セキュリティ証明書に、

　CF用のキーペアを設定できる箇所がある

＝＝＝＝

リファレンスドキュメントはこちら。

Securing Your Content in Amazon S3 - Amazon CloudFront

Overview of Restricting Access to Files in a CloudFront Distribution Based on Geographic Location - Amazon CloudFront