Cloudfront для S3 - WAF или CORS для ограничения (и разрешения) доступа и хотлинкинга?

У меня есть дистрибутив облачного фронта, который предоставляет контент из корзины S3, использующей WAF для ограничения доступа, поэтому контент может обслуживаться только в том случае, если запрос исходит от моего веб-сайта. В WAF действие по умолчанию настроено на блокировку доступа, и тогда у меня есть правило, разрешающее доступ, когда заголовок "referer" установлен для моего домена. Это прекрасно работает.

Но теперь я хочу разрешить доступ (для изображений и файлов PDF) к таким сайтам, как Facebook и Google, для совместного использования в социальных сетях и просмотра в формате PDF. Тем не менее, некоторые вещи, такие как видео, никогда не должны быть доступны с любого другого сайта.

Похоже, что WAF хорошо ограничивает контент, когда вы можете определить, какой сайт делает запрос. Используя Google для отображения PDF-файлов, все, что я вижу, это заголовок User-Agent, который может быть легко установлен любым http-запросом. То же самое с Facebook... все, что я вижу, это пользовательский агент.

Есть ли способ лучше?