Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Restreindre l'accès à une origine AWS Elemental MediaPackage v2

PDF
RSS
Mode de mise au point
Restreindre l'accès à une origine AWS Elemental MediaPackage v2 - Amazon CloudFront
Création d'un nouvel OACParamètres avancés pour le contrôle d'accès à l'origine

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudFront fournit un contrôle d'accès à l'origine (OAC) pour restreindre l'accès à une origine MediaPackage v2.

Note

CloudFront OAC ne prend en charge que la MediaPackage v2. MediaPackage la v1 n'est pas prise en charge.

Création d'un nouvel OAC

Suivez les étapes décrites dans les rubriques suivantes pour configurer un nouvel OAC dans CloudFront.

Prérequis

Avant de créer et de configurer OAC, vous devez disposer d'une CloudFront distribution d'origine MediaPackage v2. Pour de plus amples informations, veuillez consulter Utiliser un MediaStore conteneur ou un MediaPackage canal.

Donner à l'OAC l'autorisation d'accéder à l'origine de la MediaPackage version v2

Avant de créer un OAC ou de le configurer dans une CloudFront distribution, assurez-vous que l'OAC est autorisé à accéder à l'origine MediaPackage v2. Procédez ainsi après avoir créé une CloudFront distribution, mais avant d'ajouter l'OAC à l'origine MediaPackage v2 dans la configuration de distribution.

Pour autoriser l'OAC à accéder à l'origine MediaPackage v2, utilisez une politique IAM pour autoriser le principal de CloudFront service (cloudfront.amazonaws.com) à accéder à l'origine. L'Conditionélément de la politique permet d'accéder CloudFront à l'origine MediaPackage v2 uniquement lorsque la demande est au nom de la CloudFront distribution qui contient l'origine MediaPackage v2.

Exemple : politique IAM qui autorise l'accès en lecture seule à une distribution CloudFront

La politique suivante autorise la CloudFront distribution (E1PDK09ESKHJWT) à accéder à l'origine MediaPackage v2. L'origine est l'ARN spécifié pour l'Resourceélément.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {"Service": "cloudfront.amazonaws.com"},
            "Action": "mediapackagev2:GetObject",
            "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/channel-group-name/channel/channel-name/originEndpoint/origin_endpoint_name",
            "Condition": {
                "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT"}
            }
        }
    ]
}
Note

Si vous créez une distribution qui n'est pas autorisée à accéder à votre origine MediaPackage v2, vous pouvez choisir Copier la politique depuis la CloudFront console, puis choisir Mettre à jour les autorisations du point de terminaison. Vous pouvez ensuite associer l'autorisation copiée au point de terminaison. Pour plus d'informations, consultez les champs de politique des terminaux dans le guide de AWS Elemental MediaPackage l'utilisateur.

Création de l'OAC

Pour créer un OAC, vous pouvez utiliser le AWS Management Console AWS CloudFormation, AWS CLI, ou l' CloudFront API.

Console
Pour créer un OAC

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le panneau de navigation de gauche, choisissez Accès à l'origine.

  3. Choisissez Créer un paramètre de contrôle.

  4. Dans le formulaire Créer un nouveau OAC, procédez comme suit :

    1. Entrez un nom et (éventuellement) une description pour l'OAC.

    2. Pour le comportement de signature, nous vous recommandons de conserver le paramètre par défaut (Signer les demandes (recommandé)). Pour de plus amples informations, veuillez consulter Paramètres avancés pour le contrôle d'accès à l'origine.

  5. Pour le type d'origine, choisissez MediaPackage V2.

  6. Sélectionnez Create (Créer).

    Astuce

    Après avoir créé l'OAC, notez le nom. Vous en aurez besoin au cours de la procédure suivante.

Pour ajouter un OAC à une origine MediaPackage v2 dans une distribution

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez une distribution d'origine MediaPackage V2 à laquelle vous souhaitez ajouter l'OAC, puis choisissez l'onglet Origins.

  3. Sélectionnez l'origine MediaPackage v2 à laquelle vous souhaitez ajouter l'OAC, puis choisissez Modifier.

  4. Sélectionnez HTTPS only (HTTPS uniquement) pour le paramètre Protocol (Protocole) de votre origine.

  5. Dans le menu déroulant du contrôle d'accès Origin, choisissez le nom OAC que vous souhaitez utiliser.

  6. Sélectionnez Enregistrer les modifications.

La distribution commence à se déployer sur tous les emplacements CloudFront périphériques. Lorsqu'un emplacement périphérique reçoit la nouvelle configuration, il signe toutes les demandes qu'il envoie à l'origine MediaPackage v2.

CloudFormation

Pour créer un OAC avec AWS CloudFormation, utilisez le type de AWS::CloudFront::OriginAccessControl ressource. L'exemple suivant montre la syntaxe du AWS CloudFormation modèle, au format YAML, pour créer un OAC.

Type: AWS::CloudFront::OriginAccessControl
Properties: 
  OriginAccessControlConfig: 
      Description: An optional description for the origin access control
      Name: ExampleOAC
      OriginAccessControlOriginType: mediapackagev2
      SigningBehavior: always
      SigningProtocol: sigv4

Pour plus d'informations, consultez la section AWS::CloudFront::OriginAccessContrôle dans le guide de AWS CloudFormation l'utilisateur.

CLI

Pour créer un contrôle d'accès à l'origine avec le AWS Command Line Interface (AWS CLI), utilisez la aws cloudfront create-origin-access-control commande. Vous pouvez utiliser un fichier d'entrée pour fournir les paramètres d'entrée de la commande, plutôt que de spécifier chaque paramètre individuel comme entrée de ligne de commande.

Pour créer un contrôle d'accès à l'origine (CLI avec un fichier d'entrée)

  1. Utilisez la commande suivante pour créer un fichier nommé origin-access-control.yaml. Ce fichier contient tous les paramètres d’entrée de la commande create-origin-access-control.

    
aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml

  2. Ouvrez le fichier origin-access-control.yaml que vous venez de créer. Modifiez le fichier pour ajouter un nom à l'OAC, une description (facultative) et remplacez SigningBehavior par always. Ensuite, enregistrez le fichier.

    Pour plus d'informations sur paramètres OAC, consultez Paramètres avancés pour le contrôle d'accès à l'origine.

  3. Utilisez la commande suivante pour créer le contrôle d'accès à l'origine à l'aide des paramètres d'entrée du fichier origin-access-control.yaml.

    
aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml

    Notez la valeur de Id dans la sortie de la commande. Vous en avez besoin pour ajouter l'OAC à une origine MediaPackage v2 dans une CloudFront distribution.

Pour attacher un OAC à une origine MediaPackage v2 dans une distribution existante (CLI avec fichier d'entrée)

  1. Utilisez la commande suivante pour enregistrer la configuration de distribution pour la CloudFront distribution à laquelle vous souhaitez ajouter l'OAC. La distribution doit avoir une origine MediaPackage v2.

    
aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml

  2. Ouvrez le fichier nommé dist-config.yaml que vous venez de créer. Modifiez le fichier en apportant les modifications suivantes :

    • Dans l'objet Origins, ajoutez l'ID de l'OAC au champ nommé OriginAccessControlId.

    • Supprimez la valeur du champ nommé OriginAccessIdentity, le cas échéant.

    • Renommez le champ ETag en IfMatch, mais ne modifiez pas la valeur du champ.

    Enregistrez le fichier lorsque vous avez terminé.

  3. Utilisez la commande suivante pour mettre à jour la distribution afin d'utiliser le contrôle d'accès à l'origine.

    
aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml

La distribution commence à se déployer sur tous les emplacements CloudFront périphériques. Lorsqu'un emplacement périphérique reçoit la nouvelle configuration, il signe toutes les demandes qu'il envoie à l'origine MediaPackage v2.

API

Pour créer un OAC avec l' CloudFront API, utilisez CreateOriginAccessControl. Pour plus d'informations sur les champs que vous spécifiez dans cet appel d'API, consultez la documentation de référence de l'API pour votre AWS SDK ou un autre client d'API.

Après avoir créé un OAC, vous pouvez l'associer à une origine MediaPackage v2 dans une distribution, à l'aide de l'un des appels d'API suivants :

Pour ces deux appels d'API, fournissez l'ID OAC dans le OriginAccessControlId champ, dans une origine. Pour plus d'informations sur les autres champs que vous spécifiez dans ces appels d'API, consultez Référence des paramètres de distribution la documentation de référence de l'API pour votre AWS SDK ou autre client d'API.

anchoranchoranchoranchor
Pour créer un OAC

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le panneau de navigation de gauche, choisissez Accès à l'origine.

  3. Choisissez Créer un paramètre de contrôle.

  4. Dans le formulaire Créer un nouveau OAC, procédez comme suit :

    1. Entrez un nom et (éventuellement) une description pour l'OAC.

    2. Pour le comportement de signature, nous vous recommandons de conserver le paramètre par défaut (Signer les demandes (recommandé)). Pour de plus amples informations, veuillez consulter Paramètres avancés pour le contrôle d'accès à l'origine.

  5. Pour le type d'origine, choisissez MediaPackage V2.

  6. Sélectionnez Create (Créer).

    Astuce

    Après avoir créé l'OAC, notez le nom. Vous en aurez besoin au cours de la procédure suivante.

Pour ajouter un OAC à une origine MediaPackage v2 dans une distribution

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez une distribution d'origine MediaPackage V2 à laquelle vous souhaitez ajouter l'OAC, puis choisissez l'onglet Origins.

  3. Sélectionnez l'origine MediaPackage v2 à laquelle vous souhaitez ajouter l'OAC, puis choisissez Modifier.

  4. Sélectionnez HTTPS only (HTTPS uniquement) pour le paramètre Protocol (Protocole) de votre origine.

  5. Dans le menu déroulant du contrôle d'accès Origin, choisissez le nom OAC que vous souhaitez utiliser.

  6. Sélectionnez Enregistrer les modifications.

La distribution commence à se déployer sur tous les emplacements CloudFront périphériques. Lorsqu'un emplacement périphérique reçoit la nouvelle configuration, il signe toutes les demandes qu'il envoie à l'origine MediaPackage v2.

Paramètres avancés pour le contrôle d'accès à l'origine

La fonctionnalité CloudFront OAC inclut des paramètres avancés destinés uniquement à des cas d'utilisation spécifiques. Utilisez les paramètres recommandés, sauf si vous avez des besoins spécifiques en matière de paramètres avancés.

L'OAC contient un paramètre nommé Comportement de signature (dans la console) ou SigningBehavior (dans l'API, la CLI et AWS CloudFormation). Ce paramètre fournit les options suivantes :

Toujours signer les demandes d'origine (paramètre recommandé)

Nous vous recommandons d'utiliser ce paramètre, nommé Signer les demandes (recommandé) dans la console ou always dans l'API, la CLI et AWS CloudFormation. Avec ce paramètre, il signe CloudFront toujours toutes les demandes qu'il envoie à l'origine de la MediaPackage v2.

Ne jamais signer les demandes d'origine

Ce paramètre est nommé Ne pas signer les demandes dans la console ou never dans l'API, la CLI et AWS CloudFormation. Utilisez ce paramètre pour désactiver l'OAC pour toutes les origines dans toutes les distributions qui utilisent cet OAC. Cela permet d'économiser du temps et des efforts par rapport à la suppression d'un OAC de toutes les origines et distributions qui l'utilisent, une par une. Avec ce paramètre, CloudFront ne signe aucune demande envoyée à l'origine de la MediaPackage v2.

Avertissement

Pour utiliser ce paramètre, l'origine MediaPackage v2 doit être accessible au public. Si vous utilisez ce paramètre avec une origine MediaPackage v2 qui n'est pas accessible au public, CloudFront vous ne pouvez pas accéder à l'origine. L'origine MediaPackage v2 renvoie les erreurs CloudFront et les CloudFront transmet aux spectateurs. Pour plus d'informations, consultez l'exemple de politique MediaPackage v2 pour les politiques et les autorisations MediaPackage dans le guide de AWS Elemental MediaPackage l'utilisateur.

Ne remplacez pas l'en-tête Authorization de l'utilisateur (client)

Ce paramètre est nommé Ne pas remplacer l'en-tête d'autorisation dans la console ou no-override dans l'API, la CLI et AWS CloudFormation. Utilisez ce paramètre lorsque vous CloudFront souhaitez signer des demandes d'origine uniquement lorsque la demande d'affichage correspondante ne contient pas d'Authorizationen-tête. Avec ce paramètre, CloudFront transmet l'Authorizationen-tête de la demande du visualiseur lorsqu'il y en a un, mais signe la demande d'origine (en ajoutant son propre Authorization en-tête) lorsque la demande du visualiseur n'inclut pas d'Authorizationen-tête.

Avertissement

Pour transmettre l'Authorizationen-tête de la demande du lecteur, vous devez l'Authorizationajouter à une politique de cache pour tous les comportements de cache qui utilisent des origines MediaPackage v2 associées à ce contrôle d'accès à l'origine.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.