Création d'une URL signée à l'aide d'une politique prédéfinie - Amazon CloudFront
Création d'une signature pour une URL signée qui utilise une politique prédéfinie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une URL signée à l'aide d'une politique prédéfinie

Pour créer une URL signée à l’aide d’une politique prédéfinie, procédez comme suit.

Pour créer une URL signée à l’aide d’une politique prédéfinie

  1. Si vous utilisez .NET ou Java pour créer des fichiers signés URLs, et si vous n'avez pas reformaté la clé privée de votre paire de clés du format .pem par défaut à un format compatible avec .NET ou Java, faites-le maintenant. Pour de plus amples informations, veuillez consulter Reformater la clé privée (.NET et Java uniquement).

  2. Concaténez les valeurs suivantes. Vous pouvez utiliser ce format dans cet exemple d'URL signée. 

    https://d111111abcdef8.cloudfront.net/image.jpg?color=red&size=medium&Expires=1357034400&Signature=nitfHRCrtziwO2HwPfWw~yYDhUF5EwRunQA-j19DzZrvDh6hQ73lDx~-ar3UocvvRQVw6EkC~GdpGQyyOSKQim-TxAnW7d8F5Kkai9HVx0FIu-5jcQb0UEmatEXAMPLE3ReXySpLSMj0yCd3ZAB4UcBCAqEijkytL6f3fVYNGQI6&Key-Pair-Id=K2JCJMDEHXQW5F

    Supprimez tous les espaces vides (y compris les tabulations et les caractères de nouvelle ligne). Il se peut que vous ayez à inclure des caractères d’échappement dans la chaîne du code d’application. Toutes les valeurs ont un type deString.

    1. Base URL for the file

    L'URL de base est l' CloudFront URL que vous utiliseriez pour accéder au fichier si vous n'utilisiez pas Signed URLs, y compris vos propres paramètres de chaîne de requête, le cas échéant. Dans l'exemple précédent, l'URL de base esthttps://d111111abcdef8.cloudfront.net/image.jpg. Pour plus d'informations sur le format de URLs pour les distributions, consultezPersonnalisez le format d'URL pour les fichiers dans CloudFront.

    • L' CloudFront URL suivante concerne un fichier image dans une distribution (en utilisant le nom de CloudFront domaine). Notez que image.jpg se trouve dans un répertoire images. Le chemin d’accès au fichier de l’URL doit correspondre à celui du fichier de votre serveur HTTP ou de votre compartiment Amazon S3.

      https://d111111abcdef8.cloudfront.net/images/image.jpg

    • L' CloudFront URL suivante inclut une chaîne de requête :

      https://d111111abcdef8.cloudfront.net/images/image.jpg?size=large

    • Les informations suivantes CloudFront URLs concernent les fichiers image d'une distribution. Les deux utilisent un autre nom de domaine. La seconde inclut une chaîne de requête :

      https://www.example.com/images/image.jpg

      https://www.example.com/images/image.jpg?color=red

    • L' CloudFront URL suivante concerne un fichier image d'une distribution qui utilise un autre nom de domaine et le protocole HTTPS :

      https://www.example.com/images/image.jpg

    2. ?

    ?Cela indique que les paramètres de requête suivent l'URL de base. Incluez le ? même si vous ne spécifiez aucun paramètre de requête.

    Note

    Vous pouvez spécifier les paramètres de requête suivants dans n'importe quel ordre.

    3. Your query string parameters, if any&

    (Facultatif) Vous pouvez entrer vos propres paramètres de chaîne de requête. Pour ce faire, ajoutez une esperluette (&) entre chacune d'elles, par exemple. color=red&size=medium Vous pouvez spécifier les paramètres de chaîne de requête dans n'importe quel ordre dans l'URL.

    Important

    Les paramètres de votre chaîne de requête ne peuvent pas être nommés ExpiresSignature, ouKey-Pair-Id.

    4. Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC)

    Date et heure auxquelles vous souhaitez que l’URL cesse d’autoriser l’accès au fichier.

    Spécifiez la date et l’heure d’expiration au format horaire Unix (en secondes) et en heure UTC. Par exemple, le 1er janvier 2013 à 10 h UTC est converti 1357034400 au format horaire Unix, comme indiqué dans l'exemple au début de cette rubrique. Pour utiliser l'heure de l'époque, utilisez un entier de 32 bits pour une date qui n'est pas postérieure à 2147483647 (19 janvier 2038 à 03:14:07 UTC). Pour plus d'informations sur l'UTC, consultez la RFC 3339, Date et heure sur Internet : horodatages.

    5. &Signature=hashed and signed version of the policy statement

    Version hachée, signée et encodée en base 64 de la déclaration de politique JSON. Pour de plus amples informations, veuillez consulter Création d'une signature pour une URL signée qui utilise une politique prédéfinie.

    6. &Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature

    L'ID d'une clé CloudFront publique, par exemple,K2JCJMDEHXQW5F. L'ID de clé publique indique CloudFront la clé publique à utiliser pour valider l'URL signée. CloudFront compare les informations de la signature avec celles de la déclaration de politique pour vérifier que l'URL n'a pas été falsifiée.

    Cette clé publique doit appartenir à un groupe de clés qui est un signataire approuvé dans la distribution. Pour de plus amples informations, veuillez consulter Spécifiez les signataires autorisés à créer des cookies signés URLs et signés.

Création d'une signature pour une URL signée qui utilise une politique prédéfinie

Pour créer la signature d'une URL signée qui utilise une politique prédéfinie, procédez comme suit.

Création d'une déclaration de politique pour une URL signée qui utilise une politique prédéfinie

Lorsque vous créez une URL signée avec une politique prédéfinie, le paramètre Signature est une version hachée et signée d’une déclaration de politique. Pour les signataires URLs qui utilisent une politique prédéfinie, vous n'incluez pas la déclaration de politique dans l'URL, comme c'est le cas pour les signataires URLs qui utilisent une politique personnalisée. Pour créer la déclaration de politique, effectuez la procédure suivante.

Pour créer la déclaration de politique d’une URL signée qui utilise une politique prédéfinie

  1. Construisez la déclaration de politique à l’aide du format JSON suivant et de l’encodage de caractères UTF-8. Incluez la ponctuation et les autres valeurs littérales exactement comme spécifié. Pour plus d’informations sur les paramètres Resource et DateLessThan, consultez Valeurs que vous spécifiez dans la déclaration de politique d’une URL signée utilisant une politique prédéfinie.

    {
    "Statement": [
        {
            "Resource": "base URL or stream name",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": ending date and time in Unix time format and UTC
                }
            }
        }
    ]
}

  2. Supprimez tous les espaces vides (y compris les tabulations et les caractères de nouvelle ligne) de la déclaration de politique. Il se peut que vous ayez à inclure des caractères d’échappement dans la chaîne du code d’application.

Valeurs que vous spécifiez dans la déclaration de politique d’une URL signée utilisant une politique prédéfinie

Lorsque vous créez une déclaration de politique pour une politique prédéfinie, vous spécifiez les valeurs suivantes.

Ressource
Note

Vous ne pouvez spécifier qu’une seule valeur pour Resource.

L'URL de base, y compris vos chaînes de requête, le cas échéant, mais à l' CloudFront Expiresexclusion des Key-Pair-Id paramètresSignature, et, par exemple :

https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes

Remarques :

  • Protocole : la valeur doit commencer par http:// ou https://.

  • Paramètres de chaîne de requête : si vous n’avez aucun paramètre de chaîne de requête, omettez le point d’interrogation.

  • Noms de domaine alternatifs : si vous spécifiez un nom de domaine alternatif (CNAME) dans l’URL, vous devez le spécifier lorsque vous référencez le fichier dans votre page ou application web. Ne spécifiez pas l’URL Amazon S3 pour l’objet.

DateLessThan

Date et heure d’expiration de l’URL au format horaire Unix (en secondes) et en heure UTC. Par exemple, la date 1er janvier 2013 10 h 00 UTC est convertie en 1357034400 au format horaire Unix.

Cette valeur doit correspondre à la valeur du paramètre de la chaîne de requête Expires de l’URL signée. N’entourez pas la valeur de points d’interrogation.

Pour de plus amples informations, veuillez consulter Quand CloudFront vérifie la date et l'heure d'expiration dans une URL signée.

Exemple d’une déclaration de politique pour une URL signée qui utilise une politique prédéfinie

Lorsque vous utilisez l’exemple de déclaration de politique suivant dans une URL signée, un utilisateur peut accéder au fichier https://d111111abcdef8.cloudfront.net/horizon.jpg jusqu’au 1er janvier 2013 10 h 00 UTC :

{
    "Statement": [
        {
            "Resource": "https://d111111abcdef8.cloudfront.net/horizon.jpg?size=large&license=yes",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": 1357034400
                }
            }
        }
    ]
}

Création d'une signature pour une URL signée qui utilise une politique prédéfinie

Pour créer la valeur du paramètre Signature d’une URL signée, vous hachez et signez la déclaration de politique que vous avez créée dans Création d'une déclaration de politique pour une URL signée qui utilise une politique prédéfinie.

Pour plus d’informations et d’exemples sur la façon de hacher, signer et encoder la déclaration de politique, consultez :

Option 1 : Créer une signature à l’aide d’une politique prédéfinie

  1. Utilisez la fonction de hachage SHA-1 et RSA pour hacher et signer la déclaration de politique que vous avez créée dans la procédure Pour créer la déclaration de politique d’une URL signée qui utilise une politique prédéfinie. Utilisez la version de la déclaration de politique qui ne contient plus d'espaces vides.

    Pour la clé privée requise par la fonction de hachage, utilisez une clé privée dont la clé publique se trouve dans un groupe de clés approuvé actif pour la distribution.

    Note

    La méthode que vous utilisez pour hacher et signer la déclaration de politique dépend du langage de programmation et de la plateforme. Pour un exemple de code, consultez Exemples de code pour la création de la signature d’une URL signée.

  2. Supprimez les espaces vides (y compris les tabulations et les caractères de nouvelle ligne) de la chaîne hachée et signée.

  3. Encodez en base64 la chaîne à l’aide de l’encodage MIME base64. Pour plus d'informations, consultez la Section 6.8, Base64 Content-Transfer-Encoding dans la RFC 2045, MIME (extensions de messagerie Internet polyvalentes), première partie : Format des corps de messages Internet.

  4. Remplacez les caractères non valides d’une chaîne de requête d’URL par les caractères valides. Le tableau suivant répertorie les caractères valides et non valides.

    Remplacer ces caractères non valides Par ces caractères valides

    +

    - (trait d’union)

    =

    _ (soulignement)

    /

    ~ (tilde)

  5. Ajoutez la valeur obtenue à votre URL signée après &Signature=, et retournez à Pour créer une URL signée à l’aide d’une politique prédéfinie pour terminer la concaténation des parties de votre URL signée.