OAIとは何か？

OAI(オリジンアクセスアイデンティティ)
特別なCloudFrontユーザーのこと｡

• このOAIを使用して、S3のバケット内のファイルにアクセスし、条件下のユーザーにだけS3バケットのアクセス許可を設定します。
• ユーザーがS3バケットのダイレクトURLを使用して、そこにあるファイルをアクセスできないようにします。

このステップを実行すると、ユーザーはS3バケットに直接ではなく、CloudFront経由のみアクセスできるようになります。

信頼された署名者とはなにか？

上記でも少し出てきた、CloudFrontの署名付きURL、またはCookieを作成するには、署名者が必要です。
署名者は、CloudFrontが作成したグループ、または、CloudFrontのキーペアを含むAWSアカウントのどちらかです。

署名者を作る目的として２つ

1. 署名者をディストリビューションに追加するとすぐに、閲覧者からファイルへのアクセスには、
   署名付き URL または署名付き Cookie の使用が CloudFront によって求められるようになります。
2. 署名付き URL または署名付き Cookie を作成するときは、署名者のキーペアのプライベートキーを使用して URL または Cookie に署名します。
   制限されたファイルがリクエストされると、CloudFront は 署名URL または 署名Cookie の署名のない URL または Cookie と比較し、改ざんされていないことを確認します。
   CloudFront は、署名URL または 署名Cookie が有効であることも確認します。たとえば、有効期限切れ日時が経過していないことを確認します。

Cloudfront署名済みURLとは何か？

署名付きURLを知っている人だけがアクセスできるクローズドなコンテンツが配信できる仕組み。

CloudFrontbehaviorとは何か？

Default Cache Behavior Settings (デフォルトのキャッシュ動作の設定) (ディストリビューションを作成する場合)

CloudFrontURL　と　S3URLの違いは？

Amazon CloudFront は、よく使用されるウェブサイト画像、動画、メディアファイル、またはソフトウェアのダウンロードなど、頻繁にアクセスされる静的コンテンツを配信する場合に優れた選択肢となります。エッジデリバリーによるメリットを受けられるためです。
Amazon S3 バケット内のコンテンツを保護することで、ユーザーが CloudFront を介してアクセスできても、Amazon S3 URL を使用して直接アクセスすることはできないように設定できます。これにより、アクセスを制限するコンテンツについては、CloudFront のバイパスと Amazon S3 URL の使用による取得を防止できます。署名付き URL を使用するためにこの手順を実行する必要はありませんが、推奨します。