AWS Controllers for Kubernetes 新增 CloudFront 源访问控制支持

在最新的 AWS Controllers for Kubernetes (ACK) v0.0.12 版本中，开发团队为 CloudFront 服务添加了一个重要功能——源访问控制(Origin Access Control, OAC)的支持。这一更新解决了用户无法通过 Kubernetes 原生方式管理 CloudFront 源访问控制的问题。

源访问控制是 CloudFront 中的一项关键安全功能，它允许用户精细控制哪些源(如 S3 存储桶)可以被特定的 CloudFront 分发访问。通过 OAC，管理员可以确保只有经过授权的 CloudFront 分发才能访问后端存储资源，从而有效防止直接访问源站点的潜在安全风险。

在之前的 ACK 版本中，用户虽然可以通过 Kubernetes 管理 CloudFront 分发等主要资源，但无法直接创建和管理 OAC 配置。这迫使开发团队不得不混合使用其他工具(如 Terraform)或手动通过 AWS 控制台来完成这部分配置，增加了运维复杂度和出错概率。

随着 v0.0.12 版本的发布，用户现在可以完全通过 Kubernetes 原生方式声明式地管理 CloudFront 的源访问控制。这意味着开发团队可以将整个 CloudFront 配置(包括分发、缓存行为、源设置和访问控制)统一纳入 Kubernetes 的 GitOps 工作流中，实现真正的基础设施即代码。

这一功能的实现基于 ACK 项目的标准模式：通过扩展 CloudFront 服务的控制器，添加对 OAC API 的支持。开发团队遵循了 ACK 的代码生成框架，确保新功能与现有资源管理保持一致的体验。

对于已经使用 ACK 管理 CloudFront 的用户，升级到 v0.0.12 版本后，可以立即开始使用这一新功能。配置方式与其他 ACK 资源类似，通过自定义资源定义(CRD)来声明 OAC 的期望状态，控制器将负责与 AWS API 交互以实现这一状态。

这一更新进一步巩固了 ACK 作为在 Kubernetes 上管理 AWS 服务的首选方案的地位，特别是对于那些追求统一声明式基础设施管理的团队而言。随着更多 AWS 服务功能的加入，ACK 正变得越来越全面，能够满足企业级云原生应用的各种需求。