);
close INFILE;
return $str;
}
sub is_url_valid {
my ($url) = @_;
# HTTP distributions start with http[s]:// and are the correct thing to sign
if ($url =~ /^https?:\/\//) {
return 1;
} else {
print STDERR "CloudFront requires absolute URLs for HTTP distributions\n";
return 0;
}
}
sub is_stream_valid {
my ($stream) = @_;
if ($stream =~ /^rtmp:\/\// or $stream =~ /^\/?cfx\/st/) {
print STDERR "Streaming distributions require that only the stream name is signed.\n";
print STDERR "The stream name is everything after, but not including, cfx/st/\n";
return 0;
} else {
return 1;
}
}
# flash requires that the query parameters in the stream name are url
# encoded when passed in through javascript, etc. This sub handles the minimal
# required url encoding.
sub escape_url_for_webpage {
my ($url) = @_;
$url =~ s/\?/%3F/g;
$url =~ s/=/%3D/g;
$url =~ s/&/%26/g;
return $url;
}
1;
```
# 使用 PHP 创建 URL 签名
CloudFront
Amazon CloudFront
Canned Policy
Expires at
The canned policy video will be here:
Your browser does not support the video tag.
Custom Policy
Expires at only viewable by IP
The custom policy video will be here:
Your browser does not support the video tag.
```
有关更多 URL 签名示例,请参阅以下主题:
+ [使用 Perl 创建 URL 签名](CreateURLPerl.md)
+ [使用 C\$1 和 .NET Framework 创建 URL 签名](CreateSignatureInCSharp.md)
+ [使用 Java 创建 URL 签名](CFPrivateDistJavaDevelopment.md)
您可以不使用签名 URL 来创建签名,而是使用签名 Cookie。有关更多信息,请参阅 [使用 PHP 创建签名 Cookie](signed-cookies-PHP.md)。
# 使用 C\$1 和 .NET Framework 创建 URL 签名
wO5IvYCP5UcoCKDo1dcspoMehWBZcyfs9QEzGi6Oe5y+ewGr1oW+vB2GPB
ANBiVPcUHTFWhwaIBd3oglmF0lGQljP/jOfmXHUK2kUUnLnJp+oOBL2NiuFtqcW6h/L5lIpD8Yq+NRHg
Ty4zDsyr2880MvXv88yEFURCkqEXAMPLE=
AQAB
5bmKDaTz
npENGVqz4Cea8XPH+sxt+2VaAwYnsarVUoSBeVt8WLloVuZGG9IZYmH5KteXEu7fZveYd9UEXAMPLE==
1v9l/WN1a1N3rOK4VGoCokx7kR2SyTMSbZgF9IWJNOugR/WZw7HTnjipO3c9dy1Ms9pUKwUF4
6d7049EXAMPLE==
RgrSKuLWXMyBH+/l1Dx/I4tXuAJIrlPyo+VmiOc7b5NzHptkSHEPfR9s1
OK0VqjknclqCJ3Ig86OMEtEXAMPLE==
pjPjvSFw+RoaTu0pgCA/jwW/FGyfN6iim1RFbkT4
z49DZb2IM885f3vf35eLTaEYRYUHQgZtChNEV0TEXAMPLE==
nkvOJTg5QtGNgWb9i
cVtzrL/1pFEOHbJXwEJdU99N+7sMK+1066DL/HSBUCD63qD4USpnf0myc24in0EXAMPLE==
Bc7mp7XYHynuPZxChjWNJZIq+A73gm0ASDv6At7F8Vi9r0xUlQe/v0AQS3ycN8QlyR4XMbzMLYk
3yjxFDXo4ZKQtOGzLGteCU2srANiLv26/imXA8FVidZftTAtLviWQZBVPTeYIA69ATUYPEq0a5u5wjGy
UOij9OWyuEXAMPLE=
```
## C\$1 中的标准策略签名方法
listDigits = new List(digits);
StringBuilder buildExpiration = new StringBuilder(20);
foreach (char c in strExpirationRough)
{
if (listDigits.Contains(c))
buildExpiration.Append(c);
}
return buildExpiration.ToString();
}
```
另请参阅
+ [使用 Perl 创建 URL 签名](CreateURLPerl.md)
+ [使用 PHP 创建 URL 签名](CreateURL_PHP.md)
+ [使用 Java 创建 URL 签名](CFPrivateDistJavaDevelopment.md)
# 使用 Java 创建 URL 签名
--output yaml > dist-config.yaml
```
1. 打开刚创建的名为 `dist-config.yaml` 的文件。编辑文件,进行以下更改:
+ 在 `Origins` 对象中,将 OAC 的 ID 添加到名为 `OriginAccessControlId` 的字段中。
+ 从名为 `OriginAccessIdentity` 的字段中移除值(如果存在)。
+ 将 `ETag` 字段重命名为 `IfMatch`,但不更改字段的值。
完成后保存该文件。
1. 使用以下命令更新分配以使用源访问控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分配开始部署到所有 CloudFront 边缘站点。当边缘站点收到新配置时,它会签署自己发送到 MediaPackage v2 源的所有请求。
------
#### [ API ]
要使用 CloudFront API 创建 OAC,请使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。有关您在此 API 调用中指定的字段的更多信息,请参阅有关 AWS SDK 或其他 API 客户端的 API 参考文档。
创建 OAC 后,可以使用下面的任何一个 API 调用将其附加到分配中的 MediaPackage v2 源:
+ 要将它附加到现有分配,请使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 要将它附加到新分配,请使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
对于这两个 API 调用,请在源内的 `OriginAccessControlId` 字段中提供 OAC ID。有关您在这些 API 调用中指定的其他字段的更多信息,请参阅 [所有分配设置参考](distribution-web-values-specify.md) 以及有关 AWS SDK 或其他 API 客户端的 API 参考文档。
------
## 源访问控制的高级设置
/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
```
**Example 支持启用了 OAC 的 CloudFront 分配进行读写访问的 MediaStore 容器策略**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"mediastore:GetObject",
"mediastore:PutObject"
],
"Resource": "arn:aws:mediastore:us-east-1:111122223333:container/container-name/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
```
**注意**
要允许写访问,您必须在 CloudFront 分配的行为设置中将 **Allowed HTTP methods**(允许的 HTTP 方法)配置为包含 `PUT`。
### 创建源访问控制
--output yaml > dist-config.yaml
```
1. 打开刚创建的名为 `dist-config.yaml` 的文件。编辑文件,进行以下更改:
+ 在 `Origins` 对象中,将 OAC 的 ID 添加到名为 `OriginAccessControlId` 的字段中。
+ 从名为 `OriginAccessIdentity` 的字段中移除值(如果存在)。
+ 将 `ETag` 字段重命名为 `IfMatch`,但不更改字段的值。
完成后保存该文件。
1. 使用以下命令更新分配以使用源访问控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分配开始部署到所有 CloudFront 边缘站点。当边缘站点收到新配置时,它会签署其发送到 MediaStore 源的所有请求。
------
#### [ API ]
要使用 CloudFront API 创建源访问控制,请使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。有关您在此 API 调用中指定的字段的更多信息,请参阅 AWS 开发工具包或其他 API 客户端的 API 参考文档。
创建源访问控制后,可以使用下面的任何一个 API 调用将其附加到分配中的 MediaStore 源:
+ 要将它附加到现有分配,请使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 要将它附加到新分配,请使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
对于这两个 API 调用,请在源内的 `OriginAccessControlId` 字段中提供源访问控制 ID。有关您在这些 API 调用中指定的其他字段的更多信息,请参阅 [所有分配设置参考](distribution-web-values-specify.md) 以及有关 AWS SDK 或其他 API 客户端的 API 参考文档。
------
## 源访问控制的高级设置
--output yaml > dist-config.yaml
```
1. 打开刚创建的名为 `dist-config.yaml` 的文件。编辑文件,进行以下更改:
+ 在 `Origins` 对象中,将 OAC 的 ID 添加到名为 `OriginAccessControlId` 的字段中。
+ 从名为 `OriginAccessIdentity` 的字段中移除值(如果存在)。
+ 将 `ETag` 字段重命名为 `IfMatch`,但不更改字段的值。
完成后保存该文件。
1. 使用以下命令更新分配以使用源访问控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分配开始部署到所有 CloudFront 边缘站点。当边缘站点收到新配置时,它会签署自己发送到 Lambda 函数 URL 的所有请求。
------
#### [ API ]
要使用 CloudFront API 创建 OAC,请使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。有关您在此 API 调用中指定的字段的更多信息,请参阅有关 AWS SDK 或其他 API 客户端的 API 参考文档。
创建 OAC 后,可以使用下面的任何一个 API 调用将其附加到分配中的 Lambda 函数 URL:
+ 要将它附加到现有分配,请使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 要将它附加到新分配,请使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
对于这两个 API 调用,请在源内的 `OriginAccessControlId` 字段中提供 OAC ID。有关您在这些 API 调用中指定的其他字段的更多信息,请参阅有关 AWS SDK 或其他 API 客户端的 API 参考文档。
------
## 源访问控制的高级设置
"
}
}
}
]
}
```
**Example 支持启用了 OAC 的 CloudFront 分配进行读写访问的 S3 存储桶策略**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID>"
}
}
}
]
}
```
#### SSE-KMS
"
}
}
}
```
### 创建源访问控制
--output yaml > dist-config.yaml
```
1. 打开刚创建的名为 `dist-config.yaml` 的文件。编辑文件,进行以下更改:
+ 在 `Origins` 对象中,将 OAC 的 ID 添加到名为 `OriginAccessControlId` 的字段中。
+ 从名为 `OriginAccessIdentity` 的字段中移除值(如果存在)。
+ 将 `ETag` 字段重命名为 `IfMatch`,但不更改字段的值。
完成后保存该文件。
1. 使用以下命令更新分配以使用源访问控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分配开始部署到所有 CloudFront 边缘站点。当边缘站点收到新配置时,它会签署其发送到 S3 存储桶源的所有请求。
------
#### [ API ]
要使用 CloudFront API 创建源访问控制,请使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。有关您在此 API 调用中指定的字段的更多信息,请参阅 AWS 开发工具包或其他 API 客户端的 API 参考文档。
创建源访问控制后,可以使用下面的任何一个 API 调用将其附加到分配中的 S3 存储桶源:
+ 要将它附加到现有分配,请使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 要将它附加到新分配,请使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
对于这两个 API 调用,请在源内的 `OriginAccessControlId` 字段中提供源访问控制 ID。有关您在这些 API 调用中指定的其他字段的更多信息,请参阅 [所有分配设置参考](distribution-web-values-specify.md) 以及有关 AWS SDK 或其他 API 客户端的 API 参考文档。
------
## 删除将其 OAC 附加到 S3 存储桶的分配
/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/"
}
}
},
{
"Sid": "AllowLegacyOAIReadOnly",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity "
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/*"
}
]
}
```
在更新 S3 源的存储桶策略以允许访问 OAI 和 OAC 之后,您可以更新分配配置以使用 OAC(而不是 OAI)。有关更多信息,请参阅 [创建新的源访问控制](#create-oac-overview-s3)。
完全部署分配后,您可以删除存储桶策略中允许访问 OAI 的语句。有关更多信息,请参阅 [向 CloudFront 授予访问 S3 存储桶的权限](#oac-permission-to-access-s3)。
## 源访问控制的高级设置
"
}
```
在 CloudFront 控制台的**安全**、**源访问**、**身份(遗留)**下找到 OAI ID。或者,在 CloudFront API 中使用 [ListCloudFrontOriginAccessIdentities](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListCloudFrontOriginAccessIdentities.html)。
##### 向 OAI 授予权限
"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/*"
}
]
}
```
**Example 向 OAI 授予读写访问权限的 Amazon S3 存储桶策略**
下面的示例允许 OAI 读取和写入指定存储桶(`s3:GetObject` 和 `s3:PutObject`)中的对象。这允许查看器通过 CloudFront 将文件上传到您的 Amazon S3 存储桶。
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity "
},
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::/*"
}
]
}
```
#### 使用 Amazon S3 对象 ACL(不建议)
result = crypto.decryptData(masterKey, bytesToDecrypt);
return new String(result.getResult());
}
// Function to decode base64 cipher text.
private static byte[] debase64(final String value) {
return Base64.decodeBase64(value.getBytes());
}
private static void populateKeyPair() throws Exception {
final byte[] PublicKeyBytes = Files.readAllBytes(Paths.get(PUBLIC_KEY_FILENAME));
final byte[] privateKeyBytes = Files.readAllBytes(Paths.get(PRIVATE_KEY_FILENAME));
publicKey = KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(PublicKeyBytes));
privateKey = KeyFactory.getInstance("RSA").generatePrivate(new PKCS8EncodedKeySpec(privateKeyBytes));
}
}
```