Batasi akses ke file - Amazon CloudFront
Batasi akses ke file dalam cache CloudFrontBatasi akses ke file di bucket Amazon S3Batasi akses ke file pada asal kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi akses ke file

Anda dapat mengontrol akses pengguna ke konten pribadi Anda dengan dua cara:

Batasi akses ke file dalam cache CloudFront

Anda dapat mengonfigurasi CloudFront untuk meminta pengguna mengakses file Anda menggunakan cookie yang ditandatangani URLs atau ditandatangani. Anda kemudian mengembangkan aplikasi Anda baik untuk membuat dan mendistribusikan yang ditandatangani URLs ke pengguna yang diautentikasi atau untuk mengirim Set-Cookie header yang menetapkan cookie yang ditandatangani untuk pengguna yang diautentikasi. (Untuk memberikan beberapa pengguna akses jangka panjang ke sejumlah kecil file, Anda juga dapat membuat ditandatangani URLs secara manual.)

Saat Anda membuat cookie yang ditandatangani URLs atau ditandatangani untuk mengontrol akses ke file Anda, Anda dapat menentukan batasan berikut:

  • Tanggal dan waktu berakhir, setelah URL itu tidak lagi berlaku.

  • (Opsional) Tanggal dan waktu URL menjadi valid.

  • (Opsional) Alamat IP atau berbagai alamat komputer yang dapat digunakan untuk mengakses konten Anda.

Salah satu bagian dari cookie yang ditandatangani URL atau ditandatangani di-hash dan ditandatangani menggunakan kunci pribadi dari public-private key pair. Ketika seseorang menggunakan cookie yang ditandatangani URL atau ditandatangani untuk mengakses file, CloudFront bandingkan bagian cookie yang ditandatangani dan tidak ditandatangani. URL Jika mereka tidak cocok, CloudFront tidak melayani file.

Anda harus menggunakan RSA - SHA1 untuk penandatanganan URLs atau cookie. CloudFront tidak menerima algoritma lain.

Batasi akses ke file di bucket Amazon S3

Anda dapat secara opsional mengamankan konten di bucket Amazon S3 Anda sehingga pengguna dapat mengaksesnya melalui distribusi yang CloudFront ditentukan tetapi tidak dapat mengaksesnya secara langsung dengan menggunakan Amazon S3. URLs Ini mencegah seseorang melewati CloudFront dan menggunakan Amazon URL S3 untuk mendapatkan konten yang ingin Anda batasi aksesnya. Langkah ini tidak diperlukan untuk menggunakan tanda tanganURLs, tetapi kami merekomendasikannya.

Untuk mengharuskan pengguna mengakses konten Anda CloudFront URLs, Anda melakukan tugas-tugas berikut:

  • Berikan izin kontrol akses CloudFront asal untuk membaca file di bucket S3.

  • Buat kontrol akses asal dan kaitkan dengan CloudFront distribusi Anda.

  • Hapus izin bagi orang lain untuk menggunakan Amazon S3 URLs untuk membaca file.

Untuk informasi selengkapnya, lihat Batasi akses ke asal Amazon Simple Storage Service.

Batasi akses ke file pada asal kustom

Jika Anda menggunakan asal kustom, Anda dapat secara opsional mengatur header khusus untuk membatasi akses. CloudFront Untuk mendapatkan file Anda dari asal kustom, file harus dapat diakses dengan CloudFront menggunakan permintaan standar HTTP (atauHTTPS). Tetapi dengan menggunakan header khusus, Anda dapat lebih membatasi akses ke konten Anda sehingga pengguna dapat mengaksesnya hanya melaluiCloudFront, tidak secara langsung. Langkah ini tidak diperlukan untuk menggunakan tanda tanganURLs, tetapi kami merekomendasikannya.

Untuk mengharuskan pengguna mengakses konten CloudFront, ubah pengaturan berikut di CloudFront distribusi Anda:

Header Kustom Asal

Konfigurasikan CloudFront untuk meneruskan header khusus ke asal Anda. Lihat Konfigurasikan CloudFront untuk menambahkan header khusus ke permintaan asal.

Kebijakan Protokol Penampil

Konfigurasikan distribusi Anda agar pemirsa dapat menggunakannya HTTPS untuk mengakses CloudFront. Lihat Kebijakan protokol penampil.

Kebijakan Protokol Asal

Konfigurasikan distribusi Anda CloudFront agar perlu menggunakan protokol yang sama dengan pemirsa untuk meneruskan permintaan ke asal. Lihat Protokol (hanya asal kustom).

Setelah Anda membuat perubahan ini, perbarui aplikasi Anda di asal kustom Anda untuk hanya menerima permintaan yang menyertakan header khusus yang telah Anda konfigurasi CloudFront untuk dikirim.

Kombinasi dari Kebijakan Protokol Penampil dan Kebijakan Protokol Asal memastikan bahwa header kustom dienkripsi saat transit. Namun, kami menyarankan Anda melakukan hal berikut secara berkala untuk memutar header khusus yang CloudFront diteruskan ke asal Anda:

  1. Perbarui CloudFront distribusi Anda untuk mulai meneruskan header baru ke asal kustom Anda.

  2. Perbarui aplikasi Anda untuk menerima header baru sebagai konfirmasi bahwa permintaan tersebut berasal CloudFront.

  3. Ketika permintaan tidak lagi menyertakan header yang Anda ganti, perbarui aplikasi Anda agar tidak lagi menerima header lama sebagai konfirmasi bahwa permintaan tersebut berasal CloudFront.