Limita l'accesso ai file nelle cache CloudFront Limita l'accesso ai file nei bucket Amazon S3 Limita l'accesso ai file con origini personalizzate

Limita l'accesso ai file

Puoi controllare l'accesso degli utenti ai tuoi contenuti privati in due modi:

Limita l'accesso ai file nelle CloudFront cache.
Limita l'accesso ai file nel server di origine in uno dei seguenti modi:
- Configura un controllo di accesso all'origine (OAC) per il tuo bucket Amazon S3.
- Configura intestazioni personalizzate per un HTTP server privato (un'origine personalizzata).

Limita l'accesso ai file nelle cache CloudFront

Puoi configurare in modo CloudFront da richiedere che gli utenti accedano ai tuoi file utilizzando cookie firmati URLs o firmati. Quindi sviluppi l'applicazione per creare e distribuire i cookie firmati URLs agli utenti autenticati o per inviare Set-Cookie intestazioni che impostano cookie firmati per gli utenti autenticati. (Per consentire ad alcuni utenti l'accesso a lungo termine a un numero limitato di file, puoi anche creare file firmati URLs manualmente.)

Quando crei cookie firmati URLs o firmati per controllare l'accesso ai tuoi file, puoi specificare le seguenti restrizioni:

Una data e un'ora di fine, dopo le quali non URL è più valida.
(Facoltativo) La data e l'ora in cui URL diventano valide.
(Facoltativo) L'indirizzo IP o l'intervallo di indirizzi dei computer che possono essere utilizzati per accedere al tuo contenuto.

Una parte di un cookie firmato URL o firmato viene sottoposta a hash e firmata utilizzando la chiave privata di una coppia di chiavi pubblica-privata. Quando qualcuno utilizza un cookie firmato URL o firmato per accedere a un file, CloudFront confronta le parti firmate e non firmate del cookie or. URL Se non corrispondono, CloudFront non serve il file.

È necessario utilizzare RSA - SHA1 per la firma URLs o i cookie. CloudFront non accetta altri algoritmi.

Limita l'accesso ai file nei bucket Amazon S3

Facoltativamente, puoi proteggere i contenuti nel tuo bucket Amazon S3 in modo che gli utenti possano accedervi tramite la distribuzione CloudFront specificata ma non possono accedervi direttamente utilizzando Amazon S3. URLs In questo modo si impedisce a qualcuno di aggirare CloudFront e utilizzare Amazon URL S3 per ottenere contenuti a cui si desidera limitare l'accesso. Questo passaggio non è necessario per utilizzare signedURLs, ma lo consigliamo.

Per richiedere agli utenti di accedere ai tuoi contenuti tramite CloudFront URLs, esegui le seguenti attività:

Concedi a un'autorizzazione di controllo dell'accesso all' CloudFront origine per leggere i file nel bucket S3.
Crea il controllo di accesso di origine e associalo alla tua CloudFront distribuzione.
Rimuovi l'autorizzazione a chiunque altro a utilizzare Amazon S3 URLs per leggere i file.

Per ulteriori informazioni, consulta Limita l'accesso a un'origine Amazon Simple Storage Service.

Limita l'accesso ai file con origini personalizzate

Se utilizzi un'origine personalizzata, puoi facoltativamente configurare le intestazioni personalizzate per limitare l'accesso. CloudFront Per ottenere i file da un'origine personalizzata, i file devono essere accessibili CloudFront utilizzando una richiesta standard HTTP (oHTTPS). Tuttavia, utilizzando intestazioni personalizzate, puoi limitare ulteriormente l'accesso ai tuoi contenuti in modo che gli utenti possano accedervi solo tramite CloudFront e non direttamente. Questo passaggio non è necessario per utilizzare signedURLs, ma lo consigliamo.

Per richiedere agli utenti di accedere ai contenuti tramite CloudFront, modifica le seguenti impostazioni nelle tue CloudFront distribuzioni:

Origin Custom Headers (Intestazioni personalizzate origine): Configura CloudFront per inoltrare le intestazioni personalizzate alla tua origine. Per informazioni, consulta Configura CloudFront per aggiungere intestazioni personalizzate alle richieste di origine.
Viewer Protocol Policy (Policy protocollo visualizzatore): Configura la tua distribuzione in modo da richiedere l'HTTPSaccesso agli spettatori. CloudFront Per informazioni, consulta Viewer Protocol Policy (Policy protocollo visualizzatore).
Origin Protocol Policy (Policy protocollo origine): Configura la tua distribuzione in modo CloudFront che richieda l'utilizzo dello stesso protocollo degli spettatori per inoltrare le richieste all'origine. Per informazioni, consulta Protocollo (solo origini personalizzate).

Dopo aver apportato queste modifiche, aggiorna l'applicazione sull'origine personalizzata per accettare solo le richieste che includono le intestazioni personalizzate che hai configurato CloudFront per l'invio.

La combinazione della Policy del protocollo del visualizzatore e della Policy del protocollo di origine garantisce che le intestazioni personalizzate siano crittografate durante il transito. Tuttavia, ti consigliamo di eseguire periodicamente le seguenti operazioni per ruotare le intestazioni personalizzate che vengono CloudFront inoltrate all'origine:

Aggiorna la CloudFront distribuzione per iniziare a inoltrare una nuova intestazione all'origine personalizzata.
Aggiorna l'applicazione per accettare la nuova intestazione come conferma dell'origine della richiesta. CloudFront
Quando le richieste non includono più l'intestazione che stai sostituendo, aggiorna l'applicazione in modo che non accetti più la vecchia intestazione come conferma dell'origine della richiesta. CloudFront

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Limita i contenuti con cookie firmati URLs e firmati

Specificare i firmatari affidabili