Isso é um pouco complicado, acabei de dar uma olhada nisso. Basicamente, sempre fazemos o download do S3 usando uma URL assinada quando realizamos um “download forçado”, que é o que ocorre ao clicar no link do anexo ou no botão Download em uma imagem. Isso é necessário para que os cabeçalhos content-disposition apropriados sejam adicionados:
attachment; filename="#{upload.original_filename}"; filename*=UTF-8''#{upload.original_filename}
Acho que não é possível fazer com que a URL da CDN se comporte dessa forma? A URL da CDN para imagens é usada apenas na exibição inline, não durante o download. Além disso, no caso de imagens e anexos seguros que possuem ACL privada, a URL assinada deve sempre ser utilizada.