Consentire CloudFront ad Amazon di accedere al tuo MediaStore contenitore AWS Elemental - AWSElementale MediaStore
Utilizzo di Origin Access Control (OAC)Utilizzo di segreti condivisi

Avviso di fine del supporto: il 13 novembre 2025, il supporto per Elemental AWS verrà interrotto. AWS MediaStore Dopo il 13 novembre 2025, non potrai più accedere alla console o alle MediaStore risorse. MediaStore Per ulteriori informazioni, consulta questo post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consentire CloudFront ad Amazon di accedere al tuo MediaStore contenitore AWS Elemental

Puoi usare Amazon CloudFront per distribuire i contenuti archiviati in un contenitore in AWS Elemental MediaStore. Questa operazione può essere eseguita in uno dei seguenti modi:

Utilizzo di Origin Access Control (OAC)

Puoi utilizzare la funzionalità Origin Access Control (OAC) di Amazon CloudFront per proteggere MediaStore le origini di AWS Elemental con una maggiore sicurezza. È possibile abilitare AWSSignature Version 4 (SIGv4) sulle CloudFront richieste di MediaStore origine e impostare quando e CloudFront se firmare le richieste. Puoi accedere alla funzionalità OAC CloudFront tramite console, API, SDK o CLI e non sono previsti costi aggiuntivi per il suo utilizzo.

Per ulteriori informazioni sull'utilizzo della funzionalità OAC con MediaStore, consulta Restricting access to a MediaStore origin nella Amazon CloudFront Developer Guide.

Utilizzo di segreti condivisi

Se nonRegione AWS supporta la funzionalità OAC di Amazon CloudFront, puoi allegare una policy al tuo MediaStore contenitore AWS Elemental che garantisca l'accesso in lettura o superiore a CloudFront.

Nota

Ti consigliamo di utilizzare la funzione OAC se laRegione AWS supporta. Le seguenti procedure richiedono la configurazione MediaStore e l' CloudFront uso di segreti condivisi per limitare l'accesso ai MediaStore contenitori. Per seguire le migliori pratiche di sicurezza, questa configurazione manuale richiede una rotazione periodica dei segreti. Con OAC on MediaStore origin, puoi chiedere di firmare le richieste utilizzando SigV4 e inoltrarle a esse MediaStore per la corrispondenza delle firme, eliminando la necessità di utilizzare e ruotare i segreti. CloudFront Ciò garantisce che le richieste vengano verificate automaticamente prima che i contenuti multimediali vengano forniti, rendendo la distribuzione dei contenuti multimediali CloudFront più semplice MediaStore e sicura.

Per consentire l'accesso CloudFront al contenitore (console)

  1. Apri la MediaStore console all'indirizzo https://console.aws.amazon.com/mediastore/.

  2. Nella pagina Containers (Container), scegliere il nome del container.

    Viene visualizzata la pagina dei dettagli del container.

  3. Nella sezione Politica relativa ai container, allega una politica che garantisca ad Amazon l'accesso in lettura o un livello superiore CloudFront.

    La seguente politica di esempio, simile alla politica di esempio per l'accesso alla lettura pubblica tramite HTTPS, soddisfa questi requisiti perché consenteGetObject l'invio diDescribeObject comandi da parte di chiunque invii richieste al tuo dominio tramite HTTPS. Inoltre, la seguente politica di esempio protegge meglio il flusso di lavoro perché consente CloudFront l'accesso agli MediaStore oggetti solo quando la richiesta avviene tramite una connessione HTTPS e contiene l'intestazione Referer corretta.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudFrontRead",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "mediastore:GetObject",
        "mediastore:DescribeObject"
      ],
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*",
      "Condition": {
        "StringEquals": {
          "aws:Referer": "<secretValue>"
        },
        "Bool": {
          "aws:SecureTransport": "true"
        }
      }
    }
 ]}

  4. Nella sezione Container CORS policy (Policy CORS container), assegnare una policy che garantisca il livello di accesso desiderato.

    Nota

    Una policy CORS è necessaria solo per fornire l'accesso a un lettore basato su browser.

  5. Annotare i dettagli riportati di seguito:

    • L'endpoint dati assegnato al tuo container . Questa informazione è reperibile nella sezione Info della pagina Containers (Container). In CloudFront, l'endpoint dei dati viene definito nome di dominio di origine.

    • La struttura della cartella nel container in cui gli oggetti vengono archiviati. Nel CloudFront, questo viene chiamato percorso di origine. Questa impostazione è facoltativa. Per ulteriori informazioni sui percorsi di origine, consulta la Amazon CloudFront Developer Guide.

  6. In CloudFront, crea una distribuzione configurata per fornire contenuti da AWS Elemental MediaStore. Saranno necessarie le informazioni raccolte nella fase precedente.

Dopo aver allegato la policy ai MediaStore contenitori, è necessario CloudFront configurare l'utilizzo solo delle connessioni HTTPS per le richieste di origine e aggiungere anche un'intestazione personalizzata con il valore segreto corretto.

Per configurare l'accesso CloudFront al contenitore tramite una connessione HTTPS con un valore segreto per l'intestazione Referer (console)

  1. Aprire la CloudFront console.

  2. Nella pagina Origini, scegli la tua MediaStore origine.

  3. Scegliere Edit (Modifica).

  4. Scegli HTTPS solo per il protocollo.

  5. Nella sezione Aggiungi intestazione personalizzata, scegli Aggiungi intestazione.

  6. Per il nome, scegli Referer. Per il valore, usa la stessa <secretValue>stringa che hai usato nella politica del contenitore.

  7. Scegli Salva e lascia che le modifiche vengano implementate.