Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudFront fournit un contrôle d'accès à l'origine (OAC) pour restreindre l'accès à une AWS Elemental MediaStore origine.
Rubriques
Création d'un nouveau contrôle d'accès à l'origine
Suivez les étapes décrites dans les rubriques suivantes pour configurer un nouveau contrôle d'accès à l'origine dans CloudFront.
Rubriques
Prérequis
Avant de créer et de configurer le contrôle d'accès à l'origine, vous devez disposer d'une CloudFront distribution avec une MediaStore origine.
Donner à l'origine l'autorisation de contrôle d'accès d'accéder à l' MediaStore origine
Avant de créer un contrôle d'accès à l'origine ou de le configurer dans une CloudFront distribution, assurez-vous que l'OAC est autorisé à accéder à l' MediaStore origine. Procédez ainsi après avoir créé une CloudFront distribution, mais avant d'ajouter l'OAC à l' MediaStoreorigine dans la configuration de distribution.
Pour autoriser l'OAC à accéder à l' MediaStore origine, utilisez une politique de MediaStore conteneur pour autoriser le principal de CloudFront service (cloudfront.amazonaws.com) à accéder à l'origine. Utilisez un Condition élément de la politique pour autoriser l'accès CloudFront au MediaStore conteneur uniquement lorsque la demande est présentée au nom de la CloudFront distribution qui contient l' MediaStore origine.
Voici des exemples de politiques relatives aux MediaStore conteneurs qui permettent à un CloudFront OAC d'accéder à une MediaStore origine.
Exemple MediaStore politique de conteneur qui autorise l'accès en lecture seule à un OAC CloudFront
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadOnly",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"mediastore:GetObject"
],
"Resource": "arn:aws:mediastore:<region>:111122223333:container/<container name>/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}Exemple MediaStore politique de conteneur qui autorise l'accès en lecture et en écriture à un CloudFront OAC
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"mediastore:GetObject",
"mediastore:PutObject"
],
"Resource": "arn:aws:mediastore:<region>:111122223333:container/<container name>/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}Note
Pour autoriser l'accès en écriture, vous devez configurer les méthodes HTTP autorisées à inclure PUT dans les paramètres de comportement de votre CloudFront distribution.
Création du contrôle d'accès à l'origine
Pour créer un OAC, vous pouvez utiliser le AWS Management Console AWS CloudFormation, AWS CLI, ou l' CloudFront API.
Pour créer un contrôle d'accès à l'origine
Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home
. -
Dans le panneau de navigation de gauche, choisissez Accès à l'origine.
-
Choisissez Créer un paramètre de contrôle.
-
Sur l'écran Créer un paramètre de contrôle, procédez comme suit :
-
Dans le volet Détails, entrez un Nom et (éventuellement) une Description pour le contrôle d'accès à l'origine.
-
Dans le volet Paramètres, nous vous recommandons de conserver le paramètre par défaut (Signer les demandes (recommandé)). Pour de plus amples informations, veuillez consulter Paramètres avancés pour le contrôle d'accès à l'origine.
-
-
MediaStore Choisissez dans le menu déroulant Type d'origine.
-
Sélectionnez Create (Créer).
Après avoir créé l'OAC, prenez note de Nom. Vous en aurez besoin au cours de la procédure suivante.
Pour ajouter un contrôle d'accès à l'origine à une MediaStore origine dans une distribution
Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home
. -
Choisissez une distribution avec une MediaStore origine à laquelle vous souhaitez ajouter l'OAC, puis cliquez sur l'onglet Origines.
-
Sélectionnez l' MediaStore origine à laquelle vous souhaitez ajouter l'OAC, puis choisissez Modifier.
-
Sélectionnez HTTPS only (HTTPS uniquement) pour le paramètre Protocol (Protocole) de votre origine.
-
Dans le menu déroulant Origin access control (Contrôle d'accès d'origine), choisissez l'OAC que vous souhaitez utiliser.
-
Sélectionnez Enregistrer les modifications.
La distribution commence à se déployer sur tous les emplacements CloudFront périphériques. Lorsqu'un emplacement périphérique reçoit la nouvelle configuration, il signe toutes les demandes qu'il envoie à l'origine du MediaStore compartiment.
Paramètres avancés pour le contrôle d'accès à l'origine
La fonctionnalité de contrôle CloudFront d'accès à l'origine inclut des paramètres avancés destinés uniquement à des cas d'utilisation spécifiques. Utilisez les paramètres recommandés, sauf si vous avez des besoins spécifiques en matière de paramètres avancés.
Le contrôle d'accès à Origin contient un paramètre nommé Comportement de signature (dans la console) ou SigningBehavior (dans l'API, la CLI et AWS CloudFormation). Ce paramètre fournit les options suivantes :
- Toujours signer les demandes d'origine (paramètre recommandé)
-
Nous vous recommandons d'utiliser ce paramètre, nommé Signer les demandes (recommandé) dans la console ou
alwaysdans l'API, la CLI et AWS CloudFormation. Avec ce paramètre, il signe CloudFront toujours toutes les demandes qu'il envoie à l' MediaStore origine. - Ne jamais signer les demandes d'origine
-
Ce paramètre est nommé Ne pas signer les demandes dans la console ou
neverdans l'API, la CLI et AWS CloudFormation. Utilisez ce paramètre pour désactiver le contrôle d'accès à l'origine pour toutes les origines dans toutes les distributions qui utilisent ce contrôle d'accès à l'origine. Cela permet d'économiser du temps et des efforts par rapport à la suppression d'un contrôle d'accès à l'origine de toutes les origines et distributions qui l'utilisent, une par une. Avec ce paramètre, CloudFront ne signe aucune demande envoyée à l' MediaStore origine.Avertissement
Pour utiliser ce paramètre, l' MediaStore origine doit être accessible au public. Si vous utilisez ce paramètre avec une MediaStore origine qui n'est pas accessible au public, vous CloudFront ne pouvez pas accéder à l'origine. L' MediaStore origine renvoie les erreurs CloudFront et les CloudFront transmet aux spectateurs. Pour plus d'informations, consultez l'exemple de politique de MediaStore conteneur pour l'accès public en lecture via HTTPS.
- Ne remplacez pas l'en-tête
Authorizationde l'utilisateur (client) -
Ce paramètre est nommé Ne pas remplacer l'en-tête d'autorisation dans la console ou
no-overridedans l'API, la CLI et AWS CloudFormation. Utilisez ce paramètre lorsque vous CloudFront souhaitez signer des demandes d'origine uniquement lorsque la demande d'affichage correspondante ne contient pas d'Authorizationen-tête. Avec ce paramètre, CloudFront transmet l'Authorizationen-tête de la demande du visualiseur lorsqu'il y en a un, mais signe la demande d'origine (en ajoutant son propreAuthorizationen-tête) lorsque la demande du visualiseur n'inclut pas d'Authorizationen-tête.Avertissement
Pour transmettre l'
Authorizationen-tête de la demande du lecteur, vous devez l'Authorizationajouter à une politique de cache pour tous les comportements de cache qui utilisent des MediaStore origines associées à ce contrôle d'accès aux origines.
