Beschränken Sie die geografische Verteilung Ihrer Inhalte - Amazon CloudFront
Verwenden Sie CloudFront geografische EinschränkungenVerwenden Sie einen Geolocation-Dienst eines Drittanbieters

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken Sie die geografische Verteilung Ihrer Inhalte

Sie können geografische Beschränkungen verwenden, die manchmal auch als Geoblocking bezeichnet werden, um zu verhindern, dass Benutzer an bestimmten geografischen Standorten auf Inhalte zugreifen, die Sie über eine CloudFront Amazon-Distribution vertreiben. Es gibt zwei Möglichkeiten zum Verwenden der geografischen Einschränkung:

  • Verwenden Sie die Funktion für CloudFront geografische Einschränkungen. Verwenden Sie diese Option, um den Zugriff auf alle mit einer Verteilung verknüpften Dateien zu beschränken und um den Zugriff auf der Länderebene einzuschränken.

  • Verwenden Sie den Geolokalisierungsdienst eines Drittanbieters. Verwenden Sie diese Option, um den Zugriff auf einen Teil der mit einer Verteilung verknüpften Dateien zu beschränken oder um den Zugriff auf eine feinere Granularität als die Länderebene einzuschränken.

Verwenden Sie CloudFront geografische Einschränkungen

Wenn ein Benutzer Ihre Inhalte anfordert, werden die angeforderten Inhalte in der CloudFront Regel unabhängig davon bereitgestellt, wo sich der Benutzer befindet. Wenn Sie verhindern möchten, dass Nutzer in bestimmten Ländern auf Ihre Inhalte zugreifen, können Sie die Funktion für CloudFront geografische Einschränkungen verwenden, um eine der folgenden Aktionen durchzuführen:

  • Gewähren Sie Ihren Benutzern den Zugriff auf Ihre Inhalte nur, wenn diese sich in einem der zugelassenen Länder auf Ihrer Zulassungsliste befinden.

  • Verhindern Sie, dass Benutzer auf Ihre Inhalte zugreifen, wenn sie sich in einem der gesperrten Länder auf Ihrer Deny-Liste befinden.

Wenn eine Anfrage beispielsweise aus einem Land kommt, in dem Sie nicht berechtigt sind, Ihre Inhalte zu verteilen, können Sie die Anfrage mithilfe CloudFront geografischer Beschränkungen blockieren.

Anmerkung

CloudFront bestimmt den Standort Ihrer Nutzer mithilfe einer Drittanbieter-Datenbank. Die Genauigkeit der Zuweisung zwischen IP-Adressen und Ländern variiert je nach Region. Gemäß kürzlich erfolgten Tests beträgt die allgemeine Genauigkeit 99,8 %. Wenn der Standort eines Benutzers nicht ermittelt werden CloudFront kann, CloudFront wird der Inhalt bereitgestellt, den der Benutzer angefordert hat.

So funktioniert die geografische Einschränkung:

  1. Nehmen wir an, Sie haben nur Rechte zum Verteilen Ihrer Inhalte in Liechtenstein. Sie aktualisieren Ihre CloudFront Distribution, um eine Zulassungsliste hinzuzufügen, die nur Liechtenstein enthält. (Alternativ können Sie eine Deny-Liste mit allen Ländern außer Liechtenstein hinzufügen.)

  2. Ein Benutzer in Monaco fordert Ihre Inhalte an, und DNS leitet die Anfrage an einen CloudFront Edge-Standort in Mailand, Italien, weiter.

  3. Der Edge-Standort in Mailand sucht nach Ihrer Verteilung und ermittelt, dass der Benutzer in Monaco nicht zum Herunterladen Ihrer Inhalte berechtigt ist.

  4. CloudFront gibt dem Benutzer einen HTTP-Statuscode 403 (Forbidden) zurück.

Sie können optional konfigurieren CloudFront , dass dem Benutzer eine benutzerdefinierte Fehlermeldung zurückgegeben wird, und Sie können angeben, wie lange die Fehlerantwort für die angeforderte Datei zwischengespeichert werden soll CloudFront . Der Standardwert liegt bei 10 Sekunden. Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Fehlerseite für bestimmte HTTP-Statuscodes.

Geografische Einschränkungen gelten für eine gesamte Verteilung. Wenn Sie eine Einschränkung auf einen Teil Ihres Inhalts und eine andere Einschränkung (oder keine Beschränkung) auf einen anderen Teil Ihres Inhalts anwenden müssen, müssen Sie separate CloudFront Distributionen erstellen oder einen Geolocation-Dienst eines Drittanbieters verwenden.

Wenn Sie CloudFront Standardprotokolle (Zugriffsprotokolle) aktivieren, können Sie die CloudFront abgelehnten Anfragen identifizieren, indem Sie nach den Protokolleinträgen suchen, in denen der Wert von sc-status (der HTTP-Statuscode) steht. 403 Wenn Sie jedoch nur die Standardprotokolle verwenden, können Sie eine Anfrage, die aufgrund des Standorts des Benutzers CloudFront abgelehnt wurde, nicht von einer Anfrage unterscheiden, die CloudFront abgelehnt wurde, weil der Benutzer aus einem anderen Grund nicht berechtigt war, auf die Datei zuzugreifen. Wenn Sie über einen Geolokalisierungsdienst eines Drittanbieters wie Digital Element oder verfügen MaxMind, können Sie den Standort von Anfragen anhand der IP-Adresse in der Spalte c-ip (Client-IP) in den Zugriffsprotokollen ermitteln. Weitere Informationen zu CloudFront Standardprotokollen finden Sie unter. Standardprotokollierung (Zugriffsprotokolle)

Im folgenden Verfahren wird erklärt, wie Sie mithilfe der CloudFront Konsole geografische Einschränkungen zu einer vorhandenen Distribution hinzufügen können. Informationen zur Verwendung der Konsole zum Erstellen von Verteilungen finden Sie unter Eine Verteilung erstellen.

So fügen Sie Ihrer CloudFront Webdistribution (Konsole) geografische Einschränkungen hinzu

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie im Navigationsbereich die Option Distributionen und dann die Option, die Sie aktualisieren möchten.

  3. Wählen Sie die Registerkarte Sicherheit und anschließend Geografische Einschränkungen aus.

  4. Wählen Sie Edit (Bearbeiten) aus.

  5. Wählen Sie Allow list (Genehmigungsliste) aus, um eine Liste der zulässigen Länder zu erstellen, oder Block list (Blockliste), um eine Liste der gesperrten Länder zu erstellen.

  6. Fügen Sie die gewünschten Länder zur Liste hinzu und wählen Sie dann Save changes (Änderungen speichern) aus.

Verwenden Sie einen Geolocation-Dienst eines Drittanbieters

Mit der Funktion für CloudFront geografische Beschränkungen steuern Sie die Verteilung Ihrer Inhalte auf Landesebene für alle Dateien, die Sie mit einer bestimmten Webdistribution verteilen. Wenn Sie einen Anwendungsfall für geografische Einschränkungen haben, bei dem die Beschränkungen nicht an Landesgrenzen gebunden sind, oder wenn Sie den Zugriff nur auf einige der Dateien beschränken möchten, die Sie über eine bestimmte Distribution bereitstellen, können Sie die Verbindung CloudFront mit einem Geolokalisierungsdienst eines Drittanbieters kombinieren. Dies ermöglicht Ihnen die Kontrolle des Zugriffs auf Ihre Inhalte nicht nur auf der Grundlage des Landes, sondern auch auf der Grundlage der Stadt, der Postleitzahl oder sogar der Längen- und Breitengrade.

Wenn Sie einen Geolokalisierungsdienst eines Drittanbieters verwenden, empfehlen wir IhnenURLs, CloudFront signiert zu verwenden. Damit können Sie ein Ablaufdatum und eine Uhrzeit angeben, nach deren Ablauf die URL nicht mehr gültig ist. Darüber hinaus empfehlen wir Ihnen, einen Amazon S3 S3-Bucket als Quelle zu verwenden, da Sie dann eine CloudFront Origin-Zugriffskontrolle verwenden können, um zu verhindern, dass Benutzer direkt vom Ursprung aus auf Ihre Inhalte zugreifen. Weitere Informationen zur signierten Zugriffskontrolle URLs und zur Herkunftszugriffskontrolle finden Sie unterStellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.

In den folgenden Schritten wird erläutert, wie Sie den Zugriff auf Ihre Dateien mithilfe eines Geolokalisierungsservices eines Drittanbieters kontrollieren können.

So verwenden Sie einen Geolocation-Dienst eines Drittanbieters, um den Zugriff auf Dateien in einer Distribution einzuschränken CloudFront

  1. Legen Sie ein Konto bei einem Geolokalisierungsdienst an.

  2. Laden Sie Ihre Inhalte in einen Amazon-S3-Bucket hoch.

  3. Konfigurieren Sie Amazon CloudFront und Amazon S3 für die Bereitstellung privater Inhalte. Weitere Informationen finden Sie unter Stellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.

  4. Schreiben Sie Ihre Webanwendung so, dass folgende Aufgaben ausgeführt werden:

    • Senden der IP-Adresse für jede Benutzeranfrage an den Geolokalisierungsdienst.

    • Bewerten Sie den Rückgabewert des Geolocation-Service, um festzustellen, ob sich der Benutzer an einem Ort befindet, an dem Sie Ihre CloudFront Inhalte verteilen möchten.

    • Wenn Sie Ihre Inhalte an den Standort des Benutzers verteilen möchten, generieren Sie eine signierte URL für Ihre CloudFront Inhalte. Wenn Sie keinen Inhalt an diesen Speicherort verteilen möchten, geben Sie dem Benutzer den HTTP-Statuscode 403 (Forbidden) zurück. Alternativ können Sie so konfigurieren CloudFront , dass eine benutzerdefinierte Fehlermeldung zurückgegeben wird. Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Fehlerseite für bestimmte HTTP-Statuscodes.

    Weitere Informationen finden Sie in der Dokumentation für den Geolokationsdienst, den Sie verwenden.

Sie können die IP-Adressen der Besucher Ihrer Website mithilfe einer Webserver-Variablen abrufen. Beachten Sie folgende Einschränkungen:

  • Wenn Ihr Webserver nicht über einen Load Balancer mit dem Internet verbunden ist, können Sie eine Webserver-Variable verwenden, um die IP-Remote-Adresse abzurufen. Diese IP-Adresse ist jedoch nicht immer die IP-Adresse des Benutzers. Es kann sich dabei auch um die IP-Adresse eines Proxy-Servers handeln, je nachdem, wie der Benutzer mit dem Internet verbunden ist.

  • Wenn Ihr Webserver über einen Load Balancer mit dem Internet verbunden ist, enthält eine Webserver-Variable möglicherweise die IP-Adresse des Load Balancers, nicht die IP-Adresse des Benutzers. Bei dieser Konfiguration empfehlen wir, die letzte IP-Adresse im X-Forwarded-For-HTTP-Header zu verwenden. Dieser Header enthält in der Regel mehr als eine IP-Adresse, von denen die meisten für Proxys oder Load Balancer gelten. Die letzte IP-Adresse in der Liste wird am wahrscheinlichsten mit dem geografischen Standort des Benutzers verknüpft.

Wenn Ihr Webserver nicht mit einem Load Balancer verbunden ist, empfehlen wir, anstelle des X-Forwarded-For-Headers Webserver-Variablen zu verwenden, um Spoofing von IP-Adressen zu vermeiden.