Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limita l'accesso a un'origine AWS Elemental MediaStore
CloudFront fornisce il controllo dell'accesso all'origine (OAC) per limitare l'accesso a un'origine. AWS Elemental MediaStore
Completa i passaggi descritti nei seguenti argomenti per configurare un nuovo controllo di accesso di origine in CloudFront.
Prima di creare e configurare il controllo di accesso all'origine, è necessario disporre di una CloudFront distribuzione con un' MediaStore origine.
Prima di creare un controllo di accesso all'origine o di configurarlo in una CloudFront distribuzione, assicurati che CloudFront disponga dell'autorizzazione per accedere all' MediaStore origine. Fatelo dopo aver creato una CloudFront distribuzione, ma prima di aggiungere l'OAC all' MediaStoreorigine nella configurazione di distribuzione.
Utilizza una politica del MediaStore contenitore per consentire al CloudFront service principal (cloudfront.amazonaws.com) di accedere all'origine. Utilizzate un Condition elemento della policy per consentire l'accesso CloudFront al MediaStore contenitore solo quando la richiesta è per conto della CloudFront distribuzione che contiene l' MediaStore origine. Questa è la distribuzione con l' MediaStore origine a cui vuoi aggiungere OAC.
Di seguito sono riportati alcuni esempi di politiche relative ai MediaStore contenitori che consentono a una CloudFront distribuzione di accedere a un' MediaStore origine.
Esempio MediaStore politica dei contenitori che consente l'accesso in sola lettura per una CloudFront distribuzione con OAC abilitato
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadOnly",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"mediastore:GetObject"
],
"Resource": "arn:aws:mediastore:<region>:111122223333:container/<container name>/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
Esempio MediaStore politica del contenitore che consente l'accesso in lettura e scrittura per una CloudFront distribuzione con OAC abilitato
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipalReadWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudfront.amazonaws.com"
},
"Action": [
"mediastore:GetObject",
"mediastore:PutObject"
],
"Resource": "arn:aws:mediastore:<region>:111122223333:container/<container name>/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/<CloudFront distribution ID>"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
Per consentire l'accesso in scrittura, è necessario configurare i metodi HTTP consentiti da includere PUT nelle impostazioni di comportamento della CloudFront distribuzione.
Per creare un OAC, puoi utilizzare l' AWS Management Console, AWS CloudFormation AWS CLI, o l' CloudFrontAPI.
- Console
-
Per creare un controllo di accesso all'origine
Accedi AWS Management Console e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
-
Nel pannello di navigazione a sinistra, scegli Accesso origine.
-
Scegli Crea un'impostazione di controllo.
-
Nel modulo Crea un'impostazione di controllo, effettua le seguenti operazioni:
-
Nel riquadro Dettagli, inserisci un Nome e (facoltativamente) una Descrizione per il controllo degli accessi all'origine.
-
Nel riquadro Impostazioni, si consiglia di mantenere l'impostazione predefinita (Richieste di firma (consigliato)). Per ulteriori informazioni, consulta Impostazioni avanzate per il controllo dell'accesso all'origine.
-
Scegli MediaStore dal menu a discesa del tipo di origine.
-
Scegli Create (Crea).
Dopo aver creato l'OAC, prendere nota del Nome. In questa procedura, eseguire le seguenti operazioni:
Per aggiungere un controllo di accesso all'origine a un' MediaStore origine in una distribuzione
Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
-
Scegli una distribuzione con un' MediaStore origine a cui desideri aggiungere l'OAC, quindi scegli la scheda Origins.
-
Seleziona l' MediaStore origine a cui vuoi aggiungere l'OAC, quindi scegli Modifica.
-
Seleziona HTTPS solo per il protocollo di origine.
-
Nel menu a discesa Controllo degli accessi origine, scegliere l'OAC che desideri utilizzare.
-
Scegli Save changes (Salva modifiche).
La distribuzione inizia a essere distribuita in tutte le CloudFront edge location. Quando un'edge location riceve la nuova configurazione, firma tutte le richieste che invia all'origine del MediaStore bucket.
- CloudFormation
-
Per creare un controllo di accesso all'origine (OAC) con AWS CloudFormation, usa il tipo di AWS::CloudFront::OriginAccessControl risorsa. L'esempio seguente mostra la sintassi del AWS CloudFormation modello, in formato YAML, per creare un controllo di accesso all'origine.
Type: AWS::CloudFront::OriginAccessControl
Properties:
OriginAccessControlConfig:
Description: An optional description for the origin access control
Name: ExampleOAC
OriginAccessControlOriginType: mediastore
SigningBehavior: always
SigningProtocol: sigv4
Per ulteriori informazioni, consulta AWS::CloudFront::OriginAccessControl nella Guida per l'AWS CloudFormation utente.
- CLI
-
Per creare un controllo di accesso all'origine con AWS Command Line Interface (AWS CLI), utilizzate il aws cloudfront create-origin-access-control comando. È possibile utilizzare un file di input per fornire i parametri di input del comando, anziché specificare ogni singolo parametro come input della riga di comando.
Per creare un controllo di accesso all'origine (CLI con file di input)
-
Per creare un file denominato origin-access-control.yaml, utilizza il comando seguente. Tale file contiene tutti i parametri di input per il comando create-origin-access-control.
aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml
-
Aprire il file origin-access-control.yaml appena creato. Modifica il file per aggiungere un nome per l'OAC, una descrizione (opzionale) e modificare SigningBehavior in always. Quindi salvare il file.
Per ulteriori informazioni sulle impostazioni OAC, consultare Impostazioni avanzate per il controllo dell'accesso all'origine.
-
Utilizzare il comando seguente per creare il controllo di accesso origine utilizzando i parametri di input dal file origin-access-control.yaml.
aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml
Prendere nota del valore Id nell'output del comando. È necessario per aggiungere l'OAC a un' MediaStore origine in una CloudFront distribuzione.
Per collegare un OAC a un' MediaStore origine in una distribuzione esistente (CLI con file di input)
-
Utilizzate il comando seguente per salvare la configurazione di distribuzione per la CloudFront distribuzione a cui desiderate aggiungere l'OAC. La distribuzione deve avere un' MediaStoreorigine.
aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml
-
Aprire il file denominato dist-config.yaml appena creato. Modifica il file apportando le seguenti modifiche:
-
Nell'oggetto Origins, aggiungi l'ID dell'OAC al campo a cui è stato assegnato il nome OriginAccessControlId.
-
Rimuovi il valore dal campo denominato OriginAccessIdentity, se esiste.
-
Rinominare il campo ETag in IfMatch, ma non modificare il valore del campo.
Salvare il file al termine.
-
Utilizzare il comando seguente per aggiornare la distribuzione e utilizzare il controllo di accesso origine.
aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml
La distribuzione inizia a essere distribuita in tutte le CloudFront edge location. Quando una edge location riceve la nuova configurazione, firma tutte le richieste inviate all' MediaStore origine.
- API
-
Per creare un controllo di accesso all'origine con l' CloudFront API, usa CreateOriginAccessControl. Per ulteriori informazioni sui campi specificati in questa chiamata API, consulta la documentazione di riferimento sull'API per il tuo AWS SDK o altro client API.
Dopo aver creato un controllo di accesso di origine, puoi collegarlo a un' MediaStore origine in una distribuzione, utilizzando una delle seguenti chiamate API:
Per entrambe queste chiamate API, fornire l'ID di controllo dell'accesso origine nel campo OriginAccessControlId, all'interno di un'origine. Per ulteriori informazioni sugli altri campi specificati in queste chiamate API, consulta Riferimento a tutte le impostazioni di distribuzione la documentazione di riferimento sull'API per il tuo AWS SDK o altro client API.
La funzionalità di controllo dell'accesso all' CloudFront origine include impostazioni avanzate destinate solo a casi d'uso specifici. Usa le impostazioni consigliate a meno che tu non abbia una necessità specifica per le impostazioni avanzate.
Origin Access Control contiene un'impostazione denominata Signing behavior (nella console) o SigningBehavior (nell'API, CLI e AWS CloudFormation). Questa impostazione offre le seguenti opzioni:
- Firma sempre le richieste di origine (impostazione consigliata)
-
Si consiglia di utilizzare questa impostazione, denominata Richieste di firma (consigliata) nella console, oppure always nell'API, nell'interfaccia a riga di comando e AWS CloudFormation. Con questa impostazione, firma CloudFront sempre tutte le richieste che invia all' MediaStore origine.
- Non firmare le richieste di origine
-
Questa impostazione è denominata Non firmare le richieste nella console, oppure nevernell'API, nell'interfaccia a riga di comando e AWS CloudFormation. Usa questa impostazione per disattivare il controllo dell'accesso all'origine per tutte le origini in tutte le distribuzioni che utilizzano questo controllo di accesso all'origine. Ciò consente di risparmiare tempo e fatica rispetto alla rimozione di un controllo di accesso all'origine da tutte le origini e le distribuzioni che lo utilizzano, uno per uno. Con questa impostazione, CloudFront non firma alcuna richiesta inviata all' MediaStoreorigine.
Per utilizzare questa impostazione, l' MediaStore origine deve essere accessibile pubblicamente. Se utilizzi questa impostazione con un' MediaStore origine non accessibile pubblicamente, CloudFront non puoi accedere all'origine. L' MediaStore origine restituisce gli errori CloudFront e li CloudFront trasmette agli spettatori. Per ulteriori informazioni, consulta l'esempio di politica del MediaStore contenitore per l'accesso pubblico in lettura tramite HTTPS.
- Non ignorare l'intestazione del visualizzatore (client)
Authorization
-
Questa impostazione è denominata Non sovrascrivere l'intestazione di autorizzazionenella console, oppure no-override nell'API, nell'interfaccia a riga di comando e AWS CloudFormation. Utilizza questa impostazione quando desideri firmare CloudFront le richieste di origine solo quando la richiesta del visualizzatore corrispondente non include un'Authorizationintestazione. Con questa impostazione, CloudFront trasmette l'Authorizationintestazione della richiesta del visualizzatore quando ne è presente una, ma firma la richiesta di origine (aggiungendo la propria Authorization intestazione) quando la richiesta del visualizzatore non include un'intestazione. Authorization
Per trasmettere l'Authorizationintestazione dalla richiesta del visualizzatore, è necessario aggiungere l'Authorizationintestazione a una politica di cache per tutti i comportamenti della cache che utilizzano le MediaStore origini associate a questo controllo di accesso all'origine.
