View a markdown version of this page

Beschränken des Zugriffs auf Dateien - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken des Zugriffs auf Dateien

Sie können den Benutzerzugriff auf Ihre privaten Inhalte auf zwei Arten steuern:

Beschränken Sie den Zugriff auf Dateien in Caches CloudFront

Sie können so konfigurieren CloudFront , dass Benutzer entweder über signierte URLs oder signierte Cookies auf Ihre Dateien zugreifen müssen. Anschließend entwickeln Sie Ihre Anwendung entweder so, dass signierte URLs erstellt und an authentifizierte Benutzer verteilt werden, oder so, dass Set-Cookie-Header gesendet werden, die signierte Cookies für authentifizierte Benutzer setzen. (Wenn Sie einigen Benutzern langfristigen Zugriff auf eine geringe Anzahl von Dateien gewähren möchten, können Sie auch manuell signierte URLs erstellen.)

Wenn Sie signierte URLs oder signierte Cookies erstellen, um den Zugriff auf Ihre Dateien zu kontrollieren, können Sie die folgenden Einschränkungen angeben:

  • Ein Enddatum und eine Endzeit, nach welchen die URL nicht mehr gültig ist.

  • (Optional) Das Datum und die Zeit, an welchen die URL gültig wird.

  • (Optional) Die IP-Adresse oder der IP-Adressbereich der Computer, die für den Zugriff auf Ihre Inhalte verwendet werden können.

Ein Teil einer signierten URL oder eines signierten Cookies wird gehasht und mit dem privaten Schlüssel von einem Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel signiert. Wenn jemand eine signierte URL oder ein signiertes Cookie verwendet, um auf eine Datei zuzugreifen, werden die signierten und unsignierten Teile der URL oder des Cookies CloudFront verglichen. Wenn sie nicht übereinstimmen, wird die Datei CloudFront nicht bereitgestellt.

Sie müssen entweder private RSA-2048- oder ECDSA-256-Schlüssel für das Signieren von URLs oder Cookies verwenden.

Beschränken des Zugriffs auf Dateien in Amazon-S3-Buckets

Sie können den Inhalt in Ihrem Amazon S3 S3-Bucket optional sichern, sodass Benutzer über die angegebene CloudFront Distribution darauf zugreifen können, aber nicht direkt über Amazon S3 S3-URLs darauf zugreifen können. Dadurch wird verhindert, dass jemand die Amazon S3 S3-URL umgeht CloudFront und verwendet, um Inhalte abzurufen, auf die Sie den Zugriff einschränken möchten. Dieser Schritt ist für die Verwendung signierter URLs nicht notwendig, wird jedoch empfohlen.

Um zu verlangen, dass Benutzer über CloudFront URLs auf Ihre Inhalte zugreifen, gehen Sie wie folgt vor:

  • Erteilen Sie einer CloudFront Origin-Zugriffskontrolle die Berechtigung, die Dateien im S3-Bucket zu lesen.

  • Erstellen Sie die Origin-Zugriffskontrolle und verknüpfen Sie sie mit Ihrer CloudFront Distribution.

  • Entfernen Sie die Berechtigung, Amazon S3-URLs zum Lesen der Dateien zu verwenden, für alle anderen Benutzer.

Weitere Informationen finden Sie unter Beschränken des Zugriffs auf einen Amazon-S3-Ursprung.

Beschränken des Zugriffs auf Dateien auf benutzerdefinierten Ursprungsservern

Wenn Sie einen benutzerdefinierten Ursprungsserver verwenden, können Sie optional benutzerdefinierte Header einrichten, um den Zugriff einzuschränken. CloudFront Damit Ihre Dateien von einem benutzerdefinierten Ursprung abgerufen werden können, müssen die Dateien über eine CloudFront standardmäßige HTTP- (oder HTTPS-) Anfrage zugänglich sein. Durch die Verwendung benutzerdefinierter Header können Sie den Zugriff auf Ihre Inhalte jedoch weiter einschränken, sodass Benutzer nur überCloudFront, nicht direkt darauf zugreifen können. Dieser Schritt ist für die Verwendung signierter URLs nicht notwendig, wird jedoch empfohlen.

Um zu verlangen, dass Benutzer über auf Inhalte zugreifen CloudFront, ändern Sie die folgenden Einstellungen in Ihren CloudFront Distributionen:

Angepasste Ursprungs-Header

Konfigurieren Sie CloudFront es so, dass benutzerdefinierte Header an Ihren Ursprung weitergeleitet werden. Siehe Konfiguriere CloudFront es so, dass benutzerdefinierte Header zu ursprünglichen Anfragen hinzugefügt werden.

Viewer-Protokollrichtlinien

Konfigurieren Sie Ihre Verteilung so, dass Betrachter für den Zugriff auf Ihre CloudFront HTTPS verwenden müssen. Siehe Viewer-Protokollrichtlinien.

Ursprungsprotokollrichtlinien

Konfigurieren Sie Ihre Distribution so, dass CloudFront sie dasselbe Protokoll wie die Zuschauer verwenden muss, um Anfragen an den Ursprung weiterzuleiten. Siehe Protokoll (nur benutzerdefinierte Ursprünge).

Nachdem Sie diese Änderungen vorgenommen haben, aktualisieren Sie Ihre Anwendung auf Ihrem benutzerdefinierten Ursprung, sodass nur Anfragen akzeptiert werden, die die benutzerdefinierten Header enthalten, die Sie für das Senden konfiguriert CloudFront haben.

Die Kombination aus Viewer Protocol Policy (Viewer-Protokollrichtlinie) und Origin Protocol Policy (Ursprungs-Protokollrichtlinie) stellt sicher, dass die benutzerdefinierten Header während der Übertragung verschlüsselt werden. Wir empfehlen Ihnen jedoch, regelmäßig wie folgt vorzugehen, um die benutzerdefinierten Header, die an Ihren Ursprung CloudFront weitergeleitet werden, zu rotieren:

  1. Aktualisieren Sie Ihre CloudFront Distribution, um damit zu beginnen, einen neuen Header an Ihren benutzerdefinierten Absender weiterzuleiten.

  2. Aktualisieren Sie Ihre Anwendung so, dass sie den neuen Header als Bestätigung dafür akzeptiert, dass die Anfrage stammt CloudFront.

  3. Wenn Anfragen den Header, den Sie ersetzen, nicht mehr enthalten, aktualisieren Sie Ihre Anwendung so, dass der alte Header nicht mehr als Bestätigung dafür akzeptiert wird, dass die Anfrage stammt CloudFront.