);
close INFILE;
return $str;
}
sub is_url_valid {
my ($url) = @_;
# HTTP distributions start with http[s]:// and are the correct thing to sign
if ($url =~ /^https?:\/\//) {
return 1;
} else {
print STDERR "CloudFront requires absolute URLs for HTTP distributions\n";
return 0;
}
}
sub is_stream_valid {
my ($stream) = @_;
if ($stream =~ /^rtmp:\/\// or $stream =~ /^\/?cfx\/st/) {
print STDERR "Streaming distributions require that only the stream name is signed.\n";
print STDERR "The stream name is everything after, but not including, cfx/st/\n";
return 0;
} else {
return 1;
}
}
# flash requires that the query parameters in the stream name are url
# encoded when passed in through javascript, etc. This sub handles the minimal
# required url encoding.
sub escape_url_for_webpage {
my ($url) = @_;
$url =~ s/\?/%3F/g;
$url =~ s/=/%3D/g;
$url =~ s/&/%26/g;
return $url;
}
1;
```
# 使用 PHP 建立 URL 簽章
CloudFront
Amazon CloudFront
Canned Policy
Expires at
The canned policy video will be here:
Your browser does not support the video tag.
Custom Policy
Expires at only viewable by IP
The custom policy video will be here:
Your browser does not support the video tag.
```
如需其他 URL 簽章範例,請參閱下列主題:
+ [使用 Perl 建立 URL 簽章](CreateURLPerl.md)
+ [使用 C\$1 和 .NET 架構建立 URL 簽章](CreateSignatureInCSharp.md)
+ [使用 Java 建立 URL 簽章](CFPrivateDistJavaDevelopment.md)
您可以使用已簽署 Cookie,而不是使用已簽署 URL 來建立簽章。如需詳細資訊,請參閱[使用 PHP 建立已簽署 Cookie](signed-cookies-PHP.md)。
# 使用 C\$1 和 .NET 架構建立 URL 簽章
wO5IvYCP5UcoCKDo1dcspoMehWBZcyfs9QEzGi6Oe5y+ewGr1oW+vB2GPB
ANBiVPcUHTFWhwaIBd3oglmF0lGQljP/jOfmXHUK2kUUnLnJp+oOBL2NiuFtqcW6h/L5lIpD8Yq+NRHg
Ty4zDsyr2880MvXv88yEFURCkqEXAMPLE=
AQAB
5bmKDaTz
npENGVqz4Cea8XPH+sxt+2VaAwYnsarVUoSBeVt8WLloVuZGG9IZYmH5KteXEu7fZveYd9UEXAMPLE==
1v9l/WN1a1N3rOK4VGoCokx7kR2SyTMSbZgF9IWJNOugR/WZw7HTnjipO3c9dy1Ms9pUKwUF4
6d7049EXAMPLE==
RgrSKuLWXMyBH+/l1Dx/I4tXuAJIrlPyo+VmiOc7b5NzHptkSHEPfR9s1
OK0VqjknclqCJ3Ig86OMEtEXAMPLE==
pjPjvSFw+RoaTu0pgCA/jwW/FGyfN6iim1RFbkT4
z49DZb2IM885f3vf35eLTaEYRYUHQgZtChNEV0TEXAMPLE==
nkvOJTg5QtGNgWb9i
cVtzrL/1pFEOHbJXwEJdU99N+7sMK+1066DL/HSBUCD63qD4USpnf0myc24in0EXAMPLE==
Bc7mp7XYHynuPZxChjWNJZIq+A73gm0ASDv6At7F8Vi9r0xUlQe/v0AQS3ycN8QlyR4XMbzMLYk
3yjxFDXo4ZKQtOGzLGteCU2srANiLv26/imXA8FVidZftTAtLviWQZBVPTeYIA69ATUYPEq0a5u5wjGy
UOij9OWyuEXAMPLE=
```
## C\$1 的標準政策簽章方式
listDigits = new List(digits);
StringBuilder buildExpiration = new StringBuilder(20);
foreach (char c in strExpirationRough)
{
if (listDigits.Contains(c))
buildExpiration.Append(c);
}
return buildExpiration.ToString();
}
```
另請參閱
+ [使用 Perl 建立 URL 簽章](CreateURLPerl.md)
+ [使用 PHP 建立 URL 簽章](CreateURL_PHP.md)
+ [使用 Java 建立 URL 簽章](CFPrivateDistJavaDevelopment.md)
# 使用 Java 建立 URL 簽章
--output yaml > dist-config.yaml
```
1. 開啟您剛才建立且命名為 `dist-config.yaml` 的檔案。編輯檔案,進行下列變更:
+ 於 `Origins` 物件中,將 OAC 的 ID 新增至名為 `OriginAccessControlId` 的欄位。
+ 從名為 `OriginAccessIdentity` 的欄位中移除值(如果存在)。
+ 將 `ETag` 欄位重新命名為 `IfMatch`,但不要變更欄位的值。
完成後儲存檔案。
1. 使用下列命令來更新分佈,以使用原始存取控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分佈開始部署至所有 CloudFront 邊緣節點。當邊緣節點接收到新組態時,其會簽署傳送至 MediaPackage v2 原始伺服器的所有請求。
------
#### [ API ]
如要使用 CloudFront API 建立 OAC,請使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。如需您在此 API 呼叫中指定欄位的詳細資訊,請參閱 AWS SDK 或其他 API 用戶端的 API 參考文件。
建立 OAC 之後,您可以使用下列其中一個 API 呼叫,將其連接至分佈中的 MediaPackage v2 原始伺服器:
+ 如要將其附加至現有分佈中,請使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 如要將其附加至新分佈中,請使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
對於這兩個 API 呼叫,請於原始伺服器內部的 `OriginAccessControlId` 欄位中提供 OAC ID。如需您在這些 API 呼叫中指定之其他欄位的詳細資訊,請參閱 [所有分佈設定參考](distribution-web-values-specify.md)和 AWS SDK 或其他 API 用戶端的 API 參考文件。
------
## 原始存取控制的進階設定
/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
```
**Example MediaStore 容器政策,允許啟用 OAC 之 CloudFront 分佈的讀寫存取**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"mediastore:GetObject",
"mediastore:PutObject"
],
"Resource": "arn:aws:mediastore:us-east-1:111122223333:container/container-name/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
```
**注意**
若要允許寫入存取權,您必須設定 **Allowed HTTP methods** (允許的 HTTP 方法),以將 `PUT` 包含在 CloudFront 分發的行為設定中。
### 建立原始存取控制
--output yaml > dist-config.yaml
```
1. 開啟您剛才建立且命名為 `dist-config.yaml` 的檔案。編輯檔案,進行下列變更:
+ 於 `Origins` 物件中,將 OAC 的 ID 新增至名為 `OriginAccessControlId` 的欄位。
+ 從名為 `OriginAccessIdentity` 的欄位中移除值(如果存在)。
+ 將 `ETag` 欄位重新命名為 `IfMatch`,但不要變更欄位的值。
完成後儲存檔案。
1. 使用下列命令來更新分佈,以使用原始存取控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分佈開始部署至所有 CloudFront 邊緣節點。當邊緣節點接收到新組態時,其會簽署傳送至 MediaStore 原始伺服器的所有請求。
------
#### [ API ]
如要使用 CloudFront API 建立原始存取控制,請使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。如需您在此 API 呼叫中指定欄位的詳細資訊,請參閱 AWS SDK 或其他 API 用戶端的 API 參考文件。
建立原始存取控制之後,您可以使用下列其中一個 API 呼叫,將其連接至分佈中的 MediaStore 原始伺服器:
+ 如要將其附加至現有分佈中,請使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 如要將其附加至新分佈中,請使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
對於這兩個 API 呼叫,請於原始伺服器內部的 `OriginAccessControlId` 欄位中提供原始存取控制 ID。如需您在這些 API 呼叫中指定之其他欄位的詳細資訊,請參閱 [所有分佈設定參考](distribution-web-values-specify.md)和 AWS SDK 或其他 API 用戶端的 API 參考文件。
------
## 原始存取控制的進階設定
--output yaml > dist-config.yaml
```
1. 開啟您剛才建立且命名為 `dist-config.yaml` 的檔案。編輯檔案,進行下列變更:
+ 於 `Origins` 物件中,將 OAC 的 ID 新增至名為 `OriginAccessControlId` 的欄位。
+ 從名為 `OriginAccessIdentity` 的欄位中移除值(如果存在)。
+ 將 `ETag` 欄位重新命名為 `IfMatch`,但不要變更欄位的值。
完成後儲存檔案。
1. 使用下列命令來更新分佈,以使用原始存取控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分佈開始部署至所有 CloudFront 邊緣節點。當邊緣節點接收到新組態時,其會簽署傳送至 Lambda 函數 URL 的所有請求。
------
#### [ API ]
如要使用 CloudFront API 建立 OAC,請使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。如需您在此 API 呼叫中指定欄位的詳細資訊,請參閱 AWS SDK 或其他 API 用戶端的 API 參考文件。
建立原始存取控制之後,您可以使用下列其中一個 API 呼叫,將其連接至分佈中的 Lambda 函數 URL:
+ 如要將其附加至現有分佈中,請使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 如要將其附加至新分佈中,請使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
對於這兩個 API 呼叫,請於原始伺服器內部的 `OriginAccessControlId` 欄位中提供 OAC ID。如需您在這些 API 呼叫中指定之其他欄位的詳細資訊,請參閱 和 AWS SDK 或其他 API 用戶端的 API 參考文件。
------
## 原始存取控制的進階設定
"
}
}
}
]
}
```
**Example S3 儲存貯體政策,允許啟用 OAC 之 CloudFront 分佈的讀寫存取**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID>"
}
}
}
]
}
```
#### SSE-KMS
"
}
}
}
```
### 建立原始存取控制
--output yaml > dist-config.yaml
```
1. 開啟您剛才建立且命名為 `dist-config.yaml` 的檔案。編輯檔案,進行下列變更:
+ 於 `Origins` 物件中,將 OAC 的 ID 新增至名為 `OriginAccessControlId` 的欄位。
+ 從名為 `OriginAccessIdentity` 的欄位中移除值(如果存在)。
+ 將 `ETag` 欄位重新命名為 `IfMatch`,但不要變更欄位的值。
完成後儲存檔案。
1. 使用下列命令來更新分佈,以使用原始存取控制。
```
aws cloudfront update-distribution --id --cli-input-yaml file://dist-config.yaml
```
分佈開始部署至所有 CloudFront 邊緣節點。當邊緣節點接收到新組態時,其會簽署傳送至 S3 儲存貯體原始伺服器的所有請求。
------
#### [ API ]
如要使用 CloudFront API 建立原始存取控制,請使用 [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html)。如需您在此 API 呼叫中指定欄位的詳細資訊,請參閱 AWS SDK 或其他 API 用戶端的 API 參考文件。
建立原始存取控制之後,您可以使用下列其中一個 API 呼叫,將其連接至分佈中的 S3 儲存貯體原始伺服器:
+ 如要將其附加至現有分佈中,請使用 [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)。
+ 如要將其附加至新分佈中,請使用 [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)。
對於這兩個 API 呼叫,請於原始伺服器內部的 `OriginAccessControlId` 欄位中提供原始存取控制 ID。如需您在這些 API 呼叫中指定之其他欄位的詳細資訊,請參閱 [所有分佈設定參考](distribution-web-values-specify.md)和 AWS SDK 或其他 API 用戶端的 API 參考文件。
------
## 刪除含附加至 S3 儲存貯體之 OAC 的分佈
/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/"
}
}
},
{
"Sid": "AllowLegacyOAIReadOnly",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity "
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/*"
}
]
}
```
更新 S3 原始伺服器的儲存貯體政策以允許存取 OAI 和 OAC 之後,您可更新發佈組態以使用 OAC 而非 OAI。如需詳細資訊,請參閱[建立新的原始存取控制](#create-oac-overview-s3)。
完整部署分佈之後,您可移除儲存貯體政策中允許存取 OAI 的陳述式。如需詳細資訊,請參閱[授予 CloudFront 存取 S3 儲存貯體的許可](#oac-permission-to-access-s3)。
## 原始存取控制的進階設定
"
}
```
在**安全性**、**原始存取**、**身分 (舊版)** 下的 CloudFront 主控台中尋找 OAI ID。或者,在 CloudFront API 中使用 [ListCloudFrontOriginAccessIdentities](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListCloudFrontOriginAccessIdentities.html)。
##### 授予權限給一個 OAI
"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/*"
}
]
}
```
**Example 授予 OAI 讀取和寫入存取權限的 Amazon S3 儲存貯體政策**
下列範例可讓 OAI 讀取和寫入指定儲存貯體中的物件 (`s3:GetObject` 和 `s3:PutObject`)。這可讓檢視器透過 CloudFront 將檔案上傳到您的 Amazon S3 儲存貯體。
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity "
},
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::/*"
}
]
}
```
#### 使用 Amazon S3 物件 ACL (不建議)
result = crypto.decryptData(masterKey, bytesToDecrypt);
return new String(result.getResult());
}
// Function to decode base64 cipher text.
private static byte[] debase64(final String value) {
return Base64.decodeBase64(value.getBytes());
}
private static void populateKeyPair() throws Exception {
final byte[] PublicKeyBytes = Files.readAllBytes(Paths.get(PUBLIC_KEY_FILENAME));
final byte[] privateKeyBytes = Files.readAllBytes(Paths.get(PRIVATE_KEY_FILENAME));
publicKey = KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(PublicKeyBytes));
privateKey = KeyFactory.getInstance("RSA").generatePrivate(new PKCS8EncodedKeySpec(privateKeyBytes));
}
}
```