Limita l’accesso a un’origine AWS Elemental MediaPackage v2 - Amazon CloudFront
Creazione di un nuovo OACImpostazioni avanzate per il controllo dell’accesso all’origine

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limita l’accesso a un’origine AWS Elemental MediaPackage v2

CloudFront fornisce il controllo dell'accesso all'origine (OAC) per limitare l'accesso a un'origine v2. MediaPackage

Nota

CloudFront OAC supporta solo la versione 2. MediaPackage MediaPackage la v1 non è supportata.

Creazione di un nuovo OAC

Completa i passaggi descritti nei seguenti argomenti per configurare un nuovo OAC in. CloudFront

Prerequisiti

Prima di creare e configurare OAC, è necessario disporre di una CloudFront distribuzione con origine MediaPackage v2. Per ulteriori informazioni, consulta Usa un MediaStore contenitore o un canale MediaPackage.

Concedi CloudFront l'autorizzazione per accedere all'origine v2 MediaPackage

Prima di creare un OAC o configurarlo in una CloudFront distribuzione, assicurati che CloudFront disponga dell'autorizzazione per accedere all'origine MediaPackage v2. Esegui questa operazione dopo aver creato una CloudFront distribuzione, ma prima di aggiungere l'OAC all'origine MediaPackage v2 nella configurazione di distribuzione.

Utilizza una policy IAM per consentire al CloudFront service principal (cloudfront.amazonaws.com) di accedere all'origine. L'Conditionelemento della policy consente di accedere CloudFront all'origine MediaPackage v2 solo quando la richiesta è per conto della CloudFront distribuzione che contiene l'origine MediaPackage v2. Questa è la distribuzione con l'origine MediaPackage v2 a cui desideri aggiungere OAC.

Esempio: policy IAM che consente l'accesso in sola lettura per una CloudFront distribuzione con OAC abilitato

La seguente politica consente alla CloudFront distribuzione (E1PDK09ESKHJWT) l'accesso all'origine v2. MediaPackage L’origine è l’ARN specificato per l’elemento Resource.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {"Service": "cloudfront.amazonaws.com"},
            "Action": "mediapackagev2:GetObject",
            "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/channel-group-name/channel/channel-name/originEndpoint/origin_endpoint_name",
            "Condition": {
                "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT"}
            }
        }
    ]
}
Note

  • Se hai abilitato la funzionalità MQAR e il controllo di accesso origine (OAC), aggiungi l’azione mediapackagev2:GetHeadObject alla policy IAM. MQAR richiede questa autorizzazione per inviare HEAD richieste all'origine MediaPackage v2. Per ulteriori informazioni su MQAR, consulta MQAR (Media Quality-Aware Resiliency).

  • Se crei una distribuzione che non dispone dell'autorizzazione per la tua origine MediaPackage v2, puoi scegliere Copy policy dalla CloudFront console e quindi scegliere Update endpoint permissions. Puoi quindi collegare l’autorizzazione copiata all’endpoint. Per ulteriori informazioni, consulta Campi della policy dell’endpoint nella Guida per l’utente di AWS Elemental MediaPackage .

Creazione dell’OAC

Per creare un OAC, puoi utilizzare l' Console di gestione AWS, CloudFormation, o l'API AWS CLI. CloudFront

Console
Come creare un OAC

  1. Accedi Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Nel pannello di navigazione a sinistra, scegli Accesso origine.

  3. Scegli Crea un'impostazione di controllo.

  4. Nel modulo Crea nuovo OAC, procedi come indicato di seguito:

    1. Immetti un Nome e (facoltativamente) una Descrizione per l’OAC.

    2. Per Comportamento di firma, si consiglia di lasciare l’impostazione predefinita (Richieste di firma (consigliato)). Per ulteriori informazioni, consulta Impostazioni avanzate per il controllo dell’accesso all’origine.

  5. Per il tipo Origin, scegli MediaPackage V2.

  6. Scegli Create (Crea).

    Suggerimento

    Dopo aver creato l’OAC, prendi nota del Nome. In questa procedura, eseguire le seguenti operazioni:

Per aggiungere un OAC a un'origine MediaPackage v2 in una distribuzione

  1. Apri la CloudFront console all'indirizzo. https://console.aws.amazon.com/cloudfront/v4/home

  2. Scegli una distribuzione con un'origine MediaPackage V2 a cui desideri aggiungere l'OAC, quindi scegli la scheda Origins.

  3. Seleziona l'origine MediaPackage v2 a cui desideri aggiungere l'OAC, quindi scegli Modifica.

  4. Seleziona HTTPS solo per il protocollo di origine.

  5. Nel menu a discesa Controllo di accesso origine, scegli il nome OAC che desideri utilizzare.

  6. Scegli Save changes (Salva modifiche).

La distribuzione inizia a essere distribuita in tutte le edge location. CloudFront Quando una edge location riceve la nuova configurazione, firma tutte le richieste che invia all'origine MediaPackage v2.

CloudFormation

Per creare un OAC con CloudFormation, usa il tipo di AWS::CloudFront::OriginAccessControl risorsa. L'esempio seguente mostra la sintassi del CloudFormation modello, in formato YAML, per la creazione di un OAC.

Type: AWS::CloudFront::OriginAccessControl
Properties: 
  OriginAccessControlConfig: 
      Description: An optional description for the origin access control
      Name: ExampleOAC
      OriginAccessControlOriginType: mediapackagev2
      SigningBehavior: always
      SigningProtocol: sigv4

Per ulteriori informazioni, vedere AWS::CloudFront::OriginAccessControl nella Guida per l'utente.AWS CloudFormation

CLI

Per creare un controllo di accesso all'origine con AWS Command Line Interface (AWS CLI), utilizzate il aws cloudfront create-origin-access-control comando. È possibile utilizzare un file di input per fornire i parametri di input del comando, anziché specificare ogni singolo parametro come input della riga di comando.

Per creare un controllo di accesso all'origine (CLI con file di input)

  1. Per creare un file denominato origin-access-control.yaml, utilizza il comando seguente. Tale file contiene tutti i parametri di input per il comando create-origin-access-control.

    
aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml

  2. Aprire il file origin-access-control.yaml appena creato. Modifica il file per aggiungere un nome per l'OAC, una descrizione (opzionale) e modificare SigningBehavior in always. Quindi salvare il file.

    Per ulteriori informazioni sulle impostazioni OAC, consultare Impostazioni avanzate per il controllo dell’accesso all’origine.

  3. Utilizzare il comando seguente per creare il controllo di accesso origine utilizzando i parametri di input dal file origin-access-control.yaml.

    
aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml

    Prendere nota del valore Id nell'output del comando. È necessario per aggiungere l'OAC a un'origine MediaPackage v2 in una CloudFront distribuzione.

Per collegare un OAC a un'origine MediaPackage v2 in una distribuzione esistente (CLI con file di input)

  1. Usa il comando seguente per salvare la configurazione di distribuzione per la CloudFront distribuzione a cui desideri aggiungere l'OAC. La distribuzione deve avere un'origine MediaPackage v2.

    
aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml

  2. Aprire il file denominato dist-config.yaml appena creato. Modifica il file apportando le seguenti modifiche:

    • Nell'oggetto Origins, aggiungi l'ID dell'OAC al campo a cui è stato assegnato il nome OriginAccessControlId.

    • Rimuovi il valore dal campo denominato OriginAccessIdentity, se esiste.

    • Rinominare il campo ETag in IfMatch, ma non modificare il valore del campo.

    Salvare il file al termine.

  3. Utilizzare il comando seguente per aggiornare la distribuzione e utilizzare il controllo di accesso origine.

    
aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml

La distribuzione inizia a essere distribuita in tutte le CloudFront edge location. Quando una edge location riceve la nuova configurazione, firma tutte le richieste che invia all'origine MediaPackage v2.

API

Per creare un OAC con l' CloudFront API, usa. CreateOriginAccessControl Per ulteriori informazioni sui campi specificati in questa chiamata API, consulta la documentazione di riferimento sull'API per il tuo AWS SDK o altro client API.

Dopo aver creato un OAC, puoi collegarlo a un'origine MediaPackage v2 in una distribuzione, utilizzando una delle seguenti chiamate API:

Per entrambe queste chiamate API, fornire l’ID di OAC nel campo OriginAccessControlId, all’interno di un’origine. Per ulteriori informazioni sugli altri campi specificati in queste chiamate API, consulta Riferimento a tutte le impostazioni di distribuzione la documentazione di riferimento sull'API per il tuo AWS SDK o altro client API.

Impostazioni avanzate per il controllo dell’accesso all’origine

La funzionalità CloudFront OAC include impostazioni avanzate destinate solo a casi d'uso specifici. Usa le impostazioni consigliate a meno che tu non abbia una necessità specifica per le impostazioni avanzate.

OAC contiene un'impostazione denominata Signing behavior (nella console) o SigningBehavior (nell'API, nella CLI e). CloudFormation Questa impostazione offre le seguenti opzioni:

Firma sempre le richieste di origine (impostazione consigliata)

Si consiglia di utilizzare questa impostazione, denominata Richieste di firma (consigliata) nella console, oppure always nell'API, nell'interfaccia a riga di comando e CloudFormation. Con questa impostazione, firma CloudFront sempre tutte le richieste che invia all'origine MediaPackage v2.

Non firmare le richieste di origine

Questa impostazione è denominata Non firmare le richieste nella console, oppure nevernell'API, nell'interfaccia a riga di comando e CloudFormation. Usa questa impostazione per disattivare OAC per tutte le origini in tutte le distribuzioni che utilizzano questo OAC. Ciò consente di risparmiare tempo e fatica rispetto alla rimozione di un OAC da tutte le origini e le distribuzioni che lo utilizzano, uno per uno. Con questa impostazione, CloudFront non firma alcuna richiesta inviata all'origine MediaPackage v2.

avvertimento

Per utilizzare questa impostazione, l'origine MediaPackage v2 deve essere accessibile pubblicamente. Se utilizzi questa impostazione con un'origine MediaPackage v2 che non è accessibile pubblicamente, non CloudFront puoi accedere all'origine. L'origine MediaPackage v2 restituisce gli errori CloudFront e li CloudFront trasmette agli spettatori. Per ulteriori informazioni, consulta l'esempio della politica MediaPackage v2 per le politiche e le autorizzazioni MediaPackage nella Guida per l'utente.AWS Elemental MediaPackage

Non ignorare l'intestazione del visualizzatore (client) Authorization

Questa impostazione è denominata Non sovrascrivere l'intestazione di autorizzazionenella console, oppure no-override nell'API, nell'interfaccia a riga di comando e CloudFormation. Utilizzate questa impostazione quando desiderate firmare CloudFront le richieste di origine solo quando la richiesta del visualizzatore corrispondente non include un'Authorizationintestazione. Con questa impostazione, CloudFront trasmette l'Authorizationintestazione della richiesta del visualizzatore quando ne è presente una, ma firma la richiesta di origine (aggiungendo la propria Authorization intestazione) quando la richiesta del visualizzatore non include un'intestazione. Authorization

avvertimento

Per trasmettere l'Authorizationintestazione dalla richiesta del visualizzatore, è necessario aggiungere l'Authorizationintestazione a una politica di cache per tutti i comportamenti della cache che utilizzano le origini MediaPackage v2 associate a questo controllo di accesso all'origine.