

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Limita l'accesso a un' AWS Elemental MediaPackage origine v2
<a name="private-content-restricting-access-to-mediapackage"></a>

CloudFront fornisce il *controllo dell'accesso all'origine* (OAC) per limitare l'accesso a un'origine v2. MediaPackage 

**Nota**  
CloudFront OAC supporta solo la versione 2. MediaPackage MediaPackage la v1 non è supportata.

**Topics**
+ [Creazione di un nuovo OAC](#create-oac-overview-mediapackage)
+ [Impostazioni avanzate per il controllo dell’accesso all’origine](#oac-advanced-settings-mediapackage)

## Creazione di un nuovo OAC
<a name="create-oac-overview-mediapackage"></a>

Completa i passaggi descritti nei seguenti argomenti per configurare un nuovo OAC in. CloudFront

**Topics**
+ [Prerequisiti](#oac-prerequisites-mediapackage)
+ [Concedi CloudFront l'autorizzazione per accedere all'origine v2 MediaPackage](#oac-permission-to-access-mediapackage)
+ [Creazione dell’OAC](#create-oac-mediapackage)

### Prerequisiti
<a name="oac-prerequisites-mediapackage"></a>

Prima di creare e configurare OAC, è necessario disporre di una CloudFront distribuzione con origine MediaPackage v2. Per ulteriori informazioni, consulta [Usa un MediaStore contenitore o un canale MediaPackage](DownloadDistS3AndCustomOrigins.md#concept_AWS_Media).

### Concedi CloudFront l'autorizzazione per accedere all'origine v2 MediaPackage
<a name="oac-permission-to-access-mediapackage"></a>

Prima di creare un OAC o configurarlo in una CloudFront distribuzione, assicurati che CloudFront disponga dell'autorizzazione per accedere all'origine MediaPackage v2. Esegui questa operazione dopo aver creato una CloudFront distribuzione, ma prima di aggiungere l'OAC all'origine MediaPackage v2 nella configurazione di distribuzione.

Utilizza una policy IAM per consentire al CloudFront service principal (`cloudfront.amazonaws.com`) di accedere all'origine. L'`Condition`elemento della policy consente di accedere CloudFront all'origine MediaPackage v2 *solo* quando la richiesta è per conto della CloudFront distribuzione che contiene l'origine MediaPackage v2. Questa è la distribuzione con l'origine MediaPackage v2 a cui desideri aggiungere OAC.

**Example : policy IAM che consente l'accesso in sola lettura per una CloudFront distribuzione con OAC abilitato**  
La seguente politica consente alla CloudFront distribuzione (`{{E1PDK09ESKHJWT}}`) l'accesso all'origine v2. MediaPackage L’origine è l’ARN specificato per l’elemento `Resource`.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {"Service": "cloudfront.amazonaws.com"},
            "Action": "mediapackagev2:GetObject",
            "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/{{channel-group-name}}/channel/{{channel-name}}/originEndpoint/{{origin_endpoint_name}}",
            "Condition": {
                "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/{{E1PDK09ESKHJWT}}"}
            }
        }
    ]
}
```

**Note**  
Se hai abilitato la funzionalità MQAR e il controllo di accesso origine (OAC), aggiungi l’azione `mediapackagev2:GetHeadObject` alla policy IAM. MQAR richiede questa autorizzazione per inviare `HEAD` richieste all'origine MediaPackage v2. Per ulteriori informazioni su MQAR, consulta [MQAR (Media Quality-Aware Resiliency)](media-quality-score.md).
Se crei una distribuzione che non dispone dell'autorizzazione per la tua origine MediaPackage v2, puoi scegliere **Copy policy** dalla CloudFront console e quindi scegliere **Update** endpoint permissions. Puoi quindi collegare l’autorizzazione copiata all’endpoint. Per ulteriori informazioni, consulta [Campi della policy dell’endpoint](https://docs.aws.amazon.com/mediapackage/latest/userguide/endpoints-policy.html) nella *Guida per l’utente di AWS Elemental MediaPackage *. 

### Creazione dell’OAC
<a name="create-oac-mediapackage"></a>

Per creare un OAC, puoi utilizzare l' Console di gestione AWS, CloudFormation, o l'API AWS CLI. CloudFront 

------
#### [ Console ]

**Come creare un OAC**

1. Accedi Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Nel pannello di navigazione a sinistra, scegli **Accesso origine**.

1. Scegli **Crea un'impostazione di controllo**.

1. Nel modulo **Crea nuovo OAC**, procedi come indicato di seguito:

   1. Immetti un **Nome** e (facoltativamente) una **Descrizione** per l’OAC.

   1. Per **Comportamento di firma**, si consiglia di lasciare l’impostazione predefinita (**Richieste di firma (consigliato)**). Per ulteriori informazioni, consulta [Impostazioni avanzate per il controllo dell’accesso all’origine](#oac-advanced-settings-mediapackage).

1. Per il **tipo Origin**, scegli **MediaPackage V2**. 

1. Scegli **Create** (Crea).
**Suggerimento**  
Dopo aver creato l’OAC, prendi nota del **Nome**. In questa procedura, eseguire le seguenti operazioni:

**Per aggiungere un OAC a un'origine MediaPackage v2 in una distribuzione**

1. Apri la CloudFront console all'indirizzo. [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)

1. Scegli una distribuzione con un'origine MediaPackage V2 a cui desideri aggiungere l'OAC, quindi scegli la scheda **Origins**.

1. **Seleziona l'origine MediaPackage v2 a cui desideri aggiungere l'OAC, quindi scegli Modifica.**

1. Seleziona **HTTPS solo** per il **protocollo** di origine.

1. Nel menu a discesa **Controllo di accesso origine**, scegli il nome OAC che desideri utilizzare.

1. Scegli **Save changes** (Salva modifiche).

La distribuzione inizia a essere distribuita in tutte le edge location. CloudFront Quando una edge location riceve la nuova configurazione, firma tutte le richieste che invia all'origine MediaPackage v2.

------
#### [ CloudFormation ]

Per creare un OAC con CloudFormation, usa il tipo di `AWS::CloudFront::OriginAccessControl` risorsa. L'esempio seguente mostra la sintassi del CloudFormation modello, in formato YAML, per la creazione di un OAC.

```
Type: AWS::CloudFront::OriginAccessControl
Properties: 
  OriginAccessControlConfig: 
      Description: An optional description for the origin access control
      Name: ExampleOAC
      OriginAccessControlOriginType: mediapackagev2
      SigningBehavior: always
      SigningProtocol: sigv4
```

*Per ulteriori informazioni, vedere [AWS::CloudFront::OriginAccessControl](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cloudfront-originaccesscontrol.html) nella Guida per l'utente.AWS CloudFormation *

------
#### [ CLI ]

Per creare un controllo di accesso all'origine con AWS Command Line Interface (AWS CLI), utilizzate il **aws cloudfront create-origin-access-control** comando. È possibile utilizzare un file di input per fornire i parametri di input del comando, anziché specificare ogni singolo parametro come input della riga di comando.

**Per creare un controllo di accesso all'origine (CLI con file di input)**

1. Per creare un file denominato `origin-access-control.yaml`, utilizza il comando seguente. Tale file contiene tutti i parametri di input per il comando **create-origin-access-control**.

   ```
   aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml
   ```

1. Aprire il file `origin-access-control.yaml` appena creato. Modifica il file per aggiungere un nome per l'OAC, una descrizione (opzionale) e modificare `SigningBehavior` in `always`. Quindi salvare il file.

   Per ulteriori informazioni sulle impostazioni OAC, consultare [Impostazioni avanzate per il controllo dell’accesso all’origine](#oac-advanced-settings-mediapackage).

1. Utilizzare il comando seguente per creare il controllo di accesso origine utilizzando i parametri di input dal file `origin-access-control.yaml`.

   ```
   aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml
   ```

   Prendere nota del valore `Id` nell'output del comando. È necessario per aggiungere l'OAC a un'origine MediaPackage v2 in una CloudFront distribuzione.

**Per collegare un OAC a un'origine MediaPackage v2 in una distribuzione esistente (CLI con file di input)**

1. Usa il comando seguente per salvare la configurazione di distribuzione per la CloudFront distribuzione a cui desideri aggiungere l'OAC. La distribuzione deve avere un'origine MediaPackage v2.

   ```
   aws cloudfront get-distribution-config --id {{<CloudFront distribution ID>}} --output yaml > dist-config.yaml
   ```

1. Aprire il file denominato `dist-config.yaml` appena creato. Modifica il file apportando le seguenti modifiche:
   + Nell'oggetto `Origins`, aggiungi l'ID dell'OAC al campo a cui è stato assegnato il nome `OriginAccessControlId`.
   + Rimuovi il valore dal campo denominato `OriginAccessIdentity`, se esiste.
   + Rinominare il campo `ETag` in `IfMatch`, ma non modificare il valore del campo.

   Salvare il file al termine.

1. Utilizzare il comando seguente per aggiornare la distribuzione e utilizzare il controllo di accesso origine.

   ```
   aws cloudfront update-distribution --id {{<CloudFront distribution ID>}} --cli-input-yaml file://dist-config.yaml
   ```

La distribuzione inizia a essere distribuita in tutte le CloudFront edge location. Quando una edge location riceve la nuova configurazione, firma tutte le richieste che invia all'origine MediaPackage v2.

------
#### [ API ]

Per creare un OAC con l' CloudFront API, usa. [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html) Per ulteriori informazioni sui campi specificati in questa chiamata API, consulta la documentazione di riferimento sull'API per il tuo AWS SDK o altro client API.

Dopo aver creato un OAC, puoi collegarlo a un'origine MediaPackage v2 in una distribuzione, utilizzando una delle seguenti chiamate API:
+ Per collegarlo a una distribuzione esistente, usa. [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)
+ Per collegarlo a una nuova distribuzione, usa [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html).

Per entrambe queste chiamate API, fornire l’ID di OAC nel campo `OriginAccessControlId`, all’interno di un’origine. Per ulteriori informazioni sugli altri campi specificati in queste chiamate API, consulta [Riferimento a tutte le impostazioni di distribuzione](distribution-web-values-specify.md) la documentazione di riferimento sull'API per il tuo AWS SDK o altro client API.

------

## Impostazioni avanzate per il controllo dell’accesso all’origine
<a name="oac-advanced-settings-mediapackage"></a>

La funzionalità CloudFront OAC include impostazioni avanzate destinate solo a casi d'uso specifici. Usa le impostazioni consigliate a meno che tu non abbia una necessità specifica per le impostazioni avanzate.

OAC contiene un'impostazione denominata **Signing behavior** (nella console) o `SigningBehavior` (nell'API, nella CLI e). CloudFormation Questa impostazione offre le seguenti opzioni:

**Firma sempre le richieste di origine (impostazione consigliata)**  
Si consiglia di utilizzare questa impostazione, denominata **Richieste di firma (consigliata)** nella console, oppure `always` nell'API, nell'interfaccia a riga di comando e CloudFormation. Con questa impostazione, firma CloudFront sempre tutte le richieste che invia all'origine MediaPackage v2.

**Non firmare le richieste di origine**  
Questa impostazione è denominata **Non firmare le richieste** nella console, oppure `never`nell'API, nell'interfaccia a riga di comando e CloudFormation. Usa questa impostazione per disattivare OAC per tutte le origini in tutte le distribuzioni che utilizzano questo OAC. Ciò consente di risparmiare tempo e fatica rispetto alla rimozione di un OAC da tutte le origini e le distribuzioni che lo utilizzano, uno per uno. Con questa impostazione, CloudFront non firma alcuna richiesta inviata all'origine MediaPackage v2.  
Per utilizzare questa impostazione, l'origine MediaPackage v2 deve essere accessibile pubblicamente. Se utilizzi questa impostazione con un'origine MediaPackage v2 che non è accessibile pubblicamente, non CloudFront puoi accedere all'origine. L'origine MediaPackage v2 restituisce gli errori CloudFront e li CloudFront trasmette agli spettatori. *Per ulteriori informazioni, consulta l'esempio della politica MediaPackage v2 per [le politiche e le autorizzazioni MediaPackage nella](https://docs.aws.amazon.com/mediapackage/latest/userguide/policies-permissions.html) Guida per l'utente.AWS Elemental MediaPackage *

**Non ignorare l'intestazione del visualizzatore (client) `Authorization`**  
Questa impostazione è denominata **Non sovrascrivere l'intestazione di autorizzazione**nella console, oppure `no-override` nell'API, nell'interfaccia a riga di comando e CloudFormation. Utilizzate questa impostazione quando desiderate firmare CloudFront le richieste di origine solo quando la richiesta del visualizzatore corrispondente non include un'`Authorization`intestazione. Con questa impostazione, CloudFront trasmette l'`Authorization`intestazione della richiesta del visualizzatore quando ne è presente una, ma firma la richiesta di origine (aggiungendo la propria `Authorization` intestazione) quando la richiesta del visualizzatore non include un'intestazione. `Authorization`  
Per trasmettere l'`Authorization`intestazione dalla richiesta del visualizzatore, è *necessario* aggiungere l'`Authorization`intestazione a una [politica di cache per tutti i comportamenti della cache](controlling-the-cache-key.md) che utilizzano le origini MediaPackage v2 associate a questo controllo di accesso all'origine.