S3
サーバーアクセスログ
有効にするとこのログ自体もS3に乗る。
パケットポリシーの動的変数
使えなくはないっぽいけど、プラクティスとして推奨されない模様?
IAMポリシーとして動的変数を使うパターンはプラクティスとして推奨される。
アップロード時にKMS暗号化キーを使う
x-amz-server-side-encryption = aws:kms なヘッダー値を含めるとよい
それ以外の暗号化キーを許容したく無い場合、バケットポリシーでヘッダ条件を加えると良い?
外部ドメインをもってバケットを公開する
ドメインネームとバケット名を同一にすることで実現できる
CORS設定
JSONでポリシーを記載できる
Getに限らず PUT, POST, DELETE なども対応している