Introducción
Si alojas un sitio estático directamente en AWS S3 en modo público, los archivos quedan expuestos a internet. Para entornos productivos, lo recomendado es mantener el bucket privado y publicar el contenido a través de CloudFront con HTTPS y caché, vinculando tu dominio mediante Route 53. Así, CloudFront actúa como CDN seguro y S3 solo acepta solicitudes que provienen de CloudFront.
Al finalizar tendrás este flujo de seguridad y rendimiento: Navegador ? Route 53 ? CloudFront con HTTPS y caché ? S3 privado.
Paso 1: Mantén tu bucket S3 privado
Activa Bloquear acceso público en ON. Desactiva Static website hosting. Elimina cualquier bucket policy pública. Resultado esperado: el bucket no debe tener acceso público.
Paso 2: Crea una distribución de CloudFront
Ve a CloudFront y crea una distribución nueva. Configura tu dominio personalizado, por ejemplo midominio.com. Si no tienes SSL, solicita un certificado gratuito en ACM y así podrás servir HTTPS en tu dominio. Define el origen como S3, elige tu bucket y, si lo necesitas, especifica un Origin Path como index.html. Habilita OAC Origin Access Control para que CloudFront acceda de forma segura a tu bucket privado. Deja el resto en valores por defecto y considera WAF como opcional para más protección. Guarda la distribución.
Paso 3: Actualiza la política del bucket S3
Tras crear la distribución, CloudFront te sugerirá una política de bucket basada en el OAC. Cópiala desde la sección de orígenes de la distribución y pégala en la política del bucket S3. Con esto garantizas que solo CloudFront puede leer tu contenido en S3.
Paso 4: Configura DNS en Route 53
En tu zona alojada, crea un registro tipo A con alias apuntando a tu distribución de CloudFront para midominio.com. De forma opcional, crea otro registro para www.midominio.com apuntando también a CloudFront.
Paso 5: Prueba tu implementación
Espera entre 5 y 15 minutos a que la distribución se despliegue globalmente. Luego visita https://midominio.com. El flujo operativo será: Navegador ? Route 53 ? CloudFront ? S3 privado, sirviendo tu sitio con HTTPS y caché.
Conclusión
Con esta arquitectura obtienes un hosting seguro y listo para producción en AWS: S3 privado sin exposición pública, CloudFront con HTTPS y caché, dominio personalizado con Route 53 y certificado SSL gratuito vía ACM. Es el patrón recomendado para sitios estáticos en producción por su seguridad, coste eficiente y excelente rendimiento.
Cómo te ayudamos desde Q2BSTUDIO
En Q2BSTUDIO diseñamos e implementamos infraestructuras cloud seguras y de alto rendimiento en AWS y Azure, optimizando costes y automatizando despliegues. Somos especialistas en aplicaciones a medida y software a medida, ciberseguridad, inteligencia artificial e ia para empresas, agentes IA, servicios inteligencia de negocio y power bi, además de automatización de procesos para acelerar tu time to market. Si necesitas una implementación de CloudFront con S3 privado, redireccionamientos, certificados y CI CD, nuestro equipo puede acompañarte end to end.
Descubre cómo escalamos tu infraestructura con nuestros servicios cloud AWS y Azure y refuerza tu postura de seguridad con nuestra práctica de ciberseguridad y pentesting.
Beneficios clave
Mejor seguridad con S3 privado y acceso restringido vía OAC. Rendimiento global gracias a la caché de CloudFront. HTTPS y SSL de ACM sin coste adicional. Control de DNS centralizado con Route 53. Preparado para CI CD y blue green deployments. Base ideal para integrar analítica, inteligencia de negocio con power bi y servicios de inteligencia artificial.
Checklist rápido
Bucket S3 privado y sin políticas públicas. Static website hosting deshabilitado. CloudFront configurado con dominio, SSL de ACM y OAC. Política del bucket actualizada para permitir solo a CloudFront. Registros A alias en Route 53 hacia la distribución. Validación final navegando a tu dominio con HTTPS.
Próximos pasos
¿Quieres ir más allá con pipelines, control de versiones y automatización de procesos para tus despliegues? En Q2BSTUDIO combinamos servicios cloud aws y azure con inteligencia artificial, ciberseguridad, aplicaciones a medida y power bi para crear plataformas modernas, seguras y preparadas para crecer. Contáctanos y convierte tu sitio estático en una experiencia veloz, escalable y protegida.