Amazon CloudFront允许您使用可信签署者（Trusted Signers）机制为您的内容分发配置提供更高的安全性。最近，CloudFront引入了更加灵活的可信密钥组（Trusted Key Groups）机制来代替可信签署者机制，以更好地保护您的内容分发。

若果您正在使用可信签署者机制来保护您的内容分发，以下是迁移到可信密钥组的步骤。这个过程能够确保您现有的签名密钥能够继续工作。

1. 创建反向区域

您需要创建一个反向区域（Inverted Zone），然后将它添加到您的DNS服务器配置中。这个反向区域将用于验证由您的可信密钥组签名的URL。

2. 创建可信密钥组

接下来，您需要创建一个可信密钥组并将您的可信签署者中使用的公钥添加到组中。下面是一个示例代码片段：

{ "Id": "us-east-1/myTkg", "PublicKeys": [ { "Name": "myTkgPublicKey201910271300", "EncodedKey": "XXXXXXXXXXXXXX" } ] }

此处，“Name”参数应该是您的公钥的名称，而“EncodedKey”参数则应该是将可信签署者密钥转换为Base64编码后得到的字符串。

3. 修改CloudFront配置

接下来，您需要在CloudFront配置中修改您的可信签署者为您的可信密钥组。下面是一段示例代码，您需要将其中的“xxx”替换为您的密钥组ID：

"DistributionConfig": { "Aliases":