Beschränken Sie den Zugriff auf Dateien - Amazon CloudFront
Beschränken Sie den Zugriff auf Dateien in Caches CloudFrontBeschränken Sie den Zugriff auf Dateien in Amazon S3 S3-BucketsBeschränken Sie den Zugriff auf Dateien mit benutzerdefinierten Ursprüngen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken Sie den Zugriff auf Dateien

Sie können den Benutzerzugriff auf Ihre privaten Inhalte auf zwei Arten steuern:

Beschränken Sie den Zugriff auf Dateien in Caches CloudFront

Sie können festlegen CloudFront , dass Benutzer entweder mit signierten URLs oder signierten Cookies auf Ihre Dateien zugreifen müssen. Anschließend entwickeln Sie Ihre Anwendung, um entweder signierte Benutzer zu erstellen und URLs an authentifizierte Benutzer zu verteilen oder um Set-Cookie Header zu senden, die signierte Cookies für authentifizierte Benutzer setzen. (Um einigen Benutzern langfristigen Zugriff auf eine kleine Anzahl von Dateien zu gewähren, können Sie signierte URLs Dateien auch manuell erstellen.)

Wenn Sie signierte URLs oder signierte Cookies erstellen, um den Zugriff auf Ihre Dateien zu kontrollieren, können Sie die folgenden Einschränkungen festlegen:

  • Ein Enddatum und eine Endzeit, nach deren Ablauf der nicht mehr gültig URL ist.

  • (Optional) Das Datum und die Uhrzeit, URL zu der der gültig wird.

  • (Optional) Die IP-Adresse oder der IP-Adressbereich der Computer, die für den Zugriff auf Ihre Inhalte verwendet werden können.

Ein Teil eines signierten URL oder signierten Cookies wird gehasht und mit dem privaten Schlüssel aus einem öffentlich-privaten key pair signiert. Wenn jemand ein signiertes URL oder signiertes Cookie verwendet, um auf eine Datei zuzugreifen, werden die signierten und unsignierten Teile des Cookies CloudFront verglichen. URL Wenn sie nicht übereinstimmen, wird die Datei CloudFront nicht bereitgestellt.

Sie müssen RSA - SHA1 zum Signieren URLs oder für Cookies verwenden. CloudFront akzeptiert keine anderen Algorithmen.

Beschränken Sie den Zugriff auf Dateien in Amazon S3 S3-Buckets

Sie können den Inhalt in Ihrem Amazon S3-Bucket optional sichern, sodass Benutzer über die angegebene CloudFront Distribution darauf zugreifen können, aber nicht direkt mit Amazon S3 darauf zugreifen könnenURLs. Dadurch wird verhindert, dass jemand Amazon S3 umgeht CloudFront und verwendetURL, um Inhalte abzurufen, auf die Sie den Zugriff einschränken möchten. Dieser Schritt ist für die Verwendung von signed nicht erforderlichURLs, wir empfehlen ihn jedoch.

Gehen Sie wie folgt vor CloudFront URLs, damit Benutzer über auf Ihre Inhalte zugreifen können:

  • Erteilen Sie einer CloudFront Origin-Zugriffskontrolle die Erlaubnis, die Dateien im S3-Bucket zu lesen.

  • Erstellen Sie die Origin-Zugriffskontrolle und verknüpfen Sie sie mit Ihrer CloudFront Distribution.

  • Entfernen Sie allen anderen die Erlaubnis, Amazon S3 URLs zum Lesen der Dateien zu verwenden.

Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf einen Amazon Simple Storage Service-Ursprung.

Beschränken Sie den Zugriff auf Dateien mit benutzerdefinierten Ursprüngen

Wenn Sie einen benutzerdefinierten Ursprungsserver verwenden, können Sie optional benutzerdefinierte Header einrichten, um den Zugriff einzuschränken. CloudFront Um Ihre Dateien von einem benutzerdefinierten Ursprung zu erhalten, müssen die Dateien CloudFront mithilfe einer Standardanforderung HTTP (oderHTTPS) zugänglich sein. Durch die Verwendung benutzerdefinierter Header können Sie den Zugriff auf Ihre Inhalte jedoch weiter einschränken, sodass Benutzer nur überCloudFront, nicht direkt darauf zugreifen können. Dieser Schritt ist nicht erforderlich, um signiert zu verwendenURLs, wir empfehlen ihn jedoch.

Um zu verlangen, dass Benutzer über auf Inhalte zugreifen CloudFront, ändern Sie die folgenden Einstellungen in Ihren CloudFront Distributionen:

Angepasste Ursprungs-Header

Konfigurieren Sie CloudFront es so, dass benutzerdefinierte Header an Ihren Ursprung weitergeleitet werden. Siehe Konfiguriere CloudFront , dass benutzerdefinierte Header zu ursprünglichen Anfragen hinzugefügt werden.

Viewer-Protokollrichtlinien

Konfigurieren Sie Ihre Distribution so, dass Zuschauer den Zugriff CloudFront verwenden HTTPS müssen. Siehe Viewer-Protokollrichtlinien.

Ursprungsprotokollrichtlinien

Konfigurieren Sie Ihre Distribution so, dass CloudFront sie dasselbe Protokoll wie die Zuschauer verwenden muss, um Anfragen an den Ursprung weiterzuleiten. Siehe Protokoll (nur benutzerdefinierte Ursprünge).

Nachdem Sie diese Änderungen vorgenommen haben, aktualisieren Sie Ihre Anwendung auf Ihrem benutzerdefinierten Ursprung, sodass nur Anfragen akzeptiert werden, die die benutzerdefinierten Header enthalten, die Sie für das Senden konfiguriert CloudFront haben.

Die Kombination aus Viewer Protocol Policy (Viewer-Protokollrichtlinie) und Origin Protocol Policy (Ursprungs-Protokollrichtlinie) stellt sicher, dass die benutzerdefinierten Header während der Übertragung verschlüsselt werden. Wir empfehlen Ihnen jedoch, regelmäßig wie folgt vorzugehen, um die benutzerdefinierten Header, die an Ihren Ursprung CloudFront weitergeleitet werden, zu rotieren:

  1. Aktualisieren Sie Ihre CloudFront Distribution, um damit zu beginnen, einen neuen Header an Ihren benutzerdefinierten Absender weiterzuleiten.

  2. Aktualisieren Sie Ihre Anwendung so, dass sie den neuen Header als Bestätigung dafür akzeptiert, dass die Anfrage stammt CloudFront.

  3. Wenn Anfragen den Header, den Sie ersetzen, nicht mehr enthalten, aktualisieren Sie Ihre Anwendung so, dass der alte Header nicht mehr als Bestätigung dafür akzeptiert wird, dass die Anfrage stammt CloudFront.