Ermöglichen Sie Amazon CloudFront den Zugriff auf Ihren AWS Elemental MediaStore Elemental-Container - AWSElementar MediaStore
Origin Access Control (OAC) verwendenShared Secrets verwenden

Hinweis zum Ende des Supports: Am 13. November 2025 AWS wird der Support für AWS Elemental eingestellt. MediaStore Nach dem 13. November 2025 wirst du nicht mehr auf die MediaStore Konsole oder MediaStore die Ressourcen zugreifen können. Weitere Informationen finden Sie in diesem Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ermöglichen Sie Amazon CloudFront den Zugriff auf Ihren AWS Elemental MediaStore Elemental-Container

Sie können Amazon verwenden CloudFront , um die Inhalte bereitzustellen, die Sie in einem Container in AWS Elemental speichern MediaStore. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Origin Access Control (OAC) verwenden

Sie können die Origin Access Control (OAC) -Funktion von Amazon verwenden, CloudFront um die MediaStore Ursprünge von AWS Elemental mit verbesserter Sicherheit zu sichern. Sie können AWSSignature Version 4 (SigV4) für CloudFront Quellanfragen aktivieren MediaStore und festlegen, wann und ob die Anfragen signiert CloudFront werden sollen. Sie können CloudFront über die Konsole, APIs, SDK oder CLI auf die OAC-Funktion zugreifen, und für deren Nutzung fallen keine zusätzlichen Gebühren an.

Weitere Informationen zur Verwendung der OAC-Funktion mit MediaStore finden Sie unter Restricting access to a MediaStore origin im Amazon CloudFront Developer Guide.

Shared Secrets verwenden

Wenn Sie die OAC-Funktion von AmazonAWS-Region nicht unterstützen CloudFront, können Sie Ihrem AWS Elemental MediaStore Elemental-Container eine Richtlinie anhängen, die Lesezugriff oder mehr gewährt CloudFront.

Anmerkung

Wir empfehlen, die OAC-Funktion zu verwenden, wenn Sie sieAWS-Region unterstützen. Die folgenden Verfahren erfordern die Konfiguration von MediaStore und CloudFront mit Shared Secrets, um den Zugriff auf MediaStore Container einzuschränken. Um den besten Sicherheitspraktiken zu folgen, erfordert diese manuelle Konfiguration eine regelmäßige Rotation der Geheimnisse. Mit OAC on MediaStore Origins können Sie anweisen, Anfragen mit SigV4 CloudFront zu signieren und sie MediaStore zum Signaturabgleich an sie weiterzuleiten, sodass keine Secrets verwendet und rotiert werden müssen. Dadurch wird sichergestellt, dass Anfragen automatisch überprüft werden, bevor Medieninhalte bereitgestellt werden, wodurch die Bereitstellung von Medieninhalten CloudFront einfacher MediaStore und sicherer wird.

Um den CloudFront Zugriff auf Ihren Container zu ermöglichen (Konsole)

  1. Öffnen Sie die MediaStore Konsole unter https://console.aws.amazon.com/mediastore/.

  2. Wählen Sie auf der Seite Containers (Container) den Containernamen aus.

    Die Seite mit den Containerdetails wird angezeigt.

  3. Fügen Sie im Abschnitt Container-Richtlinie eine Richtlinie bei, die Amazon Lesezugriff oder mehr gewährt CloudFront.

    Die folgende Beispielrichtlinie, die der Beispielrichtlinie für Public Read Access über HTTPS ähnelt, erfüllt diese Anforderungen, da sie allen Personen, die Anfragen über HTTPS an Ihre Domain senden, erlaubtGetObject undDescribeObject Befehle erteilt. Darüber hinaus schützt die folgende Beispielrichtlinie Ihren Workflow besser, da sie den CloudFront Zugriff auf MediaStore Objekte nur zulässt, wenn die Anforderung über eine HTTPS-Verbindung erfolgt und den richtigen Referer-Header enthält.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudFrontRead",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "mediastore:GetObject",
        "mediastore:DescribeObject"
      ],
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*",
      "Condition": {
        "StringEquals": {
          "aws:Referer": "<secretValue>"
        },
        "Bool": {
          "aws:SecureTransport": "true"
        }
      }
    }
 ]}

  4. Weisen Sie im Abschnitt Container CORS policy (Container CORS-Richtlinie) eine Richtlinie zu, die die entsprechende Zugriffsebene gewährt.

    Anmerkung

    Eine CORS-Richtlinie ist nur dann erforderlich, wenn Sie Zugriff auf einen browserbasierten Player gewähren wollen.

  5. Notieren Sie dabei die folgenden Details:

    • Den Datenendpunkt, der Ihrem Container zugeordnet ist. Sie finden diese Informationen im Abschnitt Info auf der Seite Containers (Container). CloudFrontIn wird der Datenendpunkt als Quelldomänenname bezeichnet.

    • Die Ordnerstruktur im Container, in dem die Objekte gespeichert werden. CloudFrontIn wird dies als Quellpfad bezeichnet. Beachten Sie, dass diese Einstellung optional ist. Weitere Informationen zu Ausgangspfaden finden Sie im Amazon CloudFront Developer Guide.

  6. Erstellen Sie in CloudFront eine Distribution, die für die Bereitstellung von Inhalten von AWS Elemental konfiguriert ist MediaStore. Sie benötigen dazu die Informationen, die Sie im vorigen Schritt aufgezeichnet haben.

Nachdem Sie die Richtlinie an Ihre MediaStore Container angehängt haben, müssen Sie CloudFront sie so konfigurieren, dass nur HTTPS-Verbindungen für Quellanfragen verwendet werden, und außerdem einen benutzerdefinierten Header mit dem richtigen geheimen Wert hinzufügen.

So konfigurieren Sie den CloudFront Zugriff auf Ihren Container über eine HTTPS-Verbindung mit einem geheimen Wert für den Referer-Header (Konsole)

  1. Öffnen Sie die CloudFront -Konsole.

  2. Wähle auf der Origins-Seite deinen MediaStore Ursprung aus.

  3. Wählen Sie Edit (Bearbeiten) aus.

  4. Wählen Sie HTTPS nur für das Protokoll.

  5. Wählen Sie im Abschnitt Benutzerdefinierte Kopfzeile hinzufügen die Option Kopfzeile hinzufügen aus.

  6. Wählen Sie als Namen Referer aus. Verwenden Sie für den Wert dieselbe <secretValue>Zeichenfolge, die Sie in Ihrer Container-Richtlinie verwendet haben.

  7. Wählen Sie Speichern und lassen Sie die Änderungen wirksam werden.