S3上是否可以使用HTTPS而无需CloudFront？

很遗憾，您无法在S3中使用自定义域名的SSL证书。您可以使用Amazon SSL证书与S3域一起使用，例如：https://my-example-bucket.s3-website-us-east-1.amazonaws.com。

如果您想要使用自定义域名的SSL，并且无法使用CloudFront，则需要考虑在S3之前放置其他代理，例如您自己的Nginx服务器或其他代理。

在AWS的API Gateway中，您可以创建一个代理资源/{proxy+}，将其映射到s3-website。
请确保映射到s3-website而不是单独的s3，这样当访问PATH/TO/DIR时，会返回PATH/TO/DIR/index.html，并且其他可能需要的内容也能正常工作。
API Gateway通过HTTPS提供服务，可以选择使用您自己的域名。
然而，这并不是很好的选择，因为您必须手动添加所有允许的HTTP返回代码，并且在请求中有10MB的有效负载限制，因为该服务旨在用于REST API。

以下是一个有用的资源时间表。 S3和CloudFront都可在欧盟使用。 您可以通过CloudFront展示S3。
我了解在领土范围内托管的要求。您可以通过欧盟地区的S3实现该要求。 CloudFront不是托管服务，而是使用高性能租赁线路和可管理的端点缓存的CDN（内容交付网络）。您正在考虑的问题是价格选项，而不是托管位置。如果您想在欧盟提供内容，则需要“价格类别100”或“价格类别全部”。
使用CloudFront时，您可以控制可以访问您材料的IP范围以及前端和后端流量的加密。查看一些设计模式。
有一些出色的白皮书和设计模式可用于设置安全的CloudFront。我认为您会发现您可以做您想要的，并且完全符合法律要求。

http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region https://aws.amazon.com/compliance/eu-data-protection/

还可以查看AWS文档“使用https-cloudfront-to-s3-origin”和“custom-ssl-domains”

P.S.确保将存储桶权限设置为仅通过CloudFront通道可用。

RL

CloudFront有一个针对国家进行白名单/黑名单的功能。我建议您在使用您列出的三个CDN选项时，尝试使用欧盟国家的白名单。但是，我不确定验证其他国家（例如美国）被拒绝的最简单方法是什么。