Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beschränken Sie die geografische Verteilung Ihrer Inhalte
Sie können geografische Beschränkungen verwenden, die manchmal auch als Geoblocking bezeichnet werden, um zu verhindern, dass Benutzer an bestimmten geografischen Standorten auf Inhalte zugreifen, die Sie über eine CloudFront Amazon-Distribution vertreiben. Es gibt zwei Möglichkeiten zum Verwenden der geografischen Einschränkung:
-
Verwenden Sie die Funktion für CloudFront geografische Einschränkungen. Verwenden Sie diese Option, um den Zugriff auf alle mit einer Verteilung verknüpften Dateien zu beschränken und um den Zugriff auf der Länderebene einzuschränken.
-
Verwenden Sie den Geolokalisierungsdienst eines Drittanbieters. Verwenden Sie diese Option, um den Zugriff auf einen Teil der mit einer Verteilung verknüpften Dateien zu beschränken oder um den Zugriff auf eine feinere Granularität als die Länderebene einzuschränken.
Themen
Verwenden Sie CloudFront geografische Einschränkungen
Wenn ein Benutzer Ihre Inhalte anfordert, werden die angeforderten Inhalte in der CloudFront Regel unabhängig davon bereitgestellt, wo sich der Benutzer befindet. Wenn Sie verhindern möchten, dass Nutzer in bestimmten Ländern auf Ihre Inhalte zugreifen, können Sie die Funktion für CloudFront geografische Einschränkungen verwenden, um eine der folgenden Aktionen durchzuführen:
-
Gewähren Sie Ihren Benutzern den Zugriff auf Ihre Inhalte nur, wenn diese sich in einem der zugelassenen Länder auf Ihrer Zulassungsliste befinden.
-
Verhindern Sie, dass Benutzer auf Ihre Inhalte zugreifen, wenn sie sich in einem der gesperrten Länder auf Ihrer Deny-Liste befinden.
Wenn eine Anfrage beispielsweise aus einem Land kommt, in dem Sie nicht berechtigt sind, Ihre Inhalte zu verteilen, können Sie die Anfrage mithilfe CloudFront geografischer Beschränkungen blockieren.
Anmerkung
CloudFront bestimmt den Standort Ihrer Nutzer mithilfe einer Drittanbieter-Datenbank. Die Genauigkeit der Zuweisung zwischen IP-Adressen und Ländern variiert je nach Region. Gemäß kürzlich erfolgten Tests beträgt die allgemeine Genauigkeit 99,8 %. Wenn der Standort eines Benutzers nicht ermittelt werden CloudFront kann, CloudFront wird der Inhalt bereitgestellt, den der Benutzer angefordert hat.
So funktioniert die geografische Einschränkung:
-
Nehmen wir an, Sie haben nur Rechte zum Verteilen Ihrer Inhalte in Liechtenstein. Sie aktualisieren Ihre CloudFront Distribution und fügen eine Zulassungsliste hinzu, die nur Liechtenstein enthält. (Alternativ können Sie eine Deny-Liste mit allen Ländern außer Liechtenstein hinzufügen.)
-
Ein Benutzer in Monaco fordert Ihre Inhalte an und DNS leitet die Anfrage an einen CloudFront Edge-Standort in Mailand, Italien, weiter.
-
Der Edge-Standort in Mailand sucht nach Ihrer Verteilung und ermittelt, dass der Benutzer in Monaco nicht zum Herunterladen Ihrer Inhalte berechtigt ist.
-
CloudFront gibt dem Benutzer einen HTTP Statuscode
403 (Forbidden)
zurück.
Sie können optional konfigurieren CloudFront , dass dem Benutzer eine benutzerdefinierte Fehlermeldung zurückgegeben wird, und Sie können angeben, wie lange die Fehlerantwort für die angeforderte Datei zwischengespeichert werden soll CloudFront . Der Standardwert liegt bei 10 Sekunden. Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Fehlerseite für bestimmte HTTP Statuscodes.
Geografische Einschränkungen gelten für eine gesamte Verteilung. Wenn Sie eine Einschränkung auf einen Teil Ihres Inhalts und eine andere Einschränkung (oder keine Beschränkung) auf einen anderen Teil Ihres Inhalts anwenden müssen, müssen Sie separate CloudFront Distributionen erstellen oder einen Geolocation-Dienst eines Drittanbieters verwenden.
Wenn Sie CloudFront Standardprotokolle (Zugriffsprotokolle) aktivieren, können Sie die CloudFront abgelehnten Anfragen identifizieren, indem Sie nach den Protokolleinträgen suchen, in denen sich der Wert von sc-status
(der HTTP Statuscode) befindet. 403
Wenn Sie jedoch nur die Standardprotokolle verwenden, können Sie eine Anfrage, die aufgrund des Standorts des Benutzers CloudFront abgelehnt wurde, nicht von einer Anfrage unterscheiden, die CloudFront abgelehnt wurde, weil der Benutzer aus einem anderen Grund nicht berechtigt war, auf die Datei zuzugreifen. Wenn Sie über einen Geolokalisierungsdienst eines Drittanbieters wie Digital Element oder verfügen MaxMind, können Sie den Standort von Anfragen anhand der IP-Adresse in der Spalte c-ip
(Client-IP) in den Zugriffsprotokollen ermitteln. Weitere Informationen zu CloudFront Standardprotokollen finden Sie unter. Standardprotokolle (Zugriffsprotokolle) konfigurieren und verwenden
Im folgenden Verfahren wird erklärt, wie Sie mithilfe der CloudFront Konsole geografische Einschränkungen zu einer vorhandenen Distribution hinzufügen können. Informationen zur Verwendung der Konsole zum Erstellen von Verteilungen finden Sie unter Eine Verteilung erstellen.
So fügen Sie Ihrer CloudFront Webdistribution (Konsole) geografische Einschränkungen hinzu
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home
. -
Wählen Sie im Navigationsbereich die Option Distributionen und dann die Option, die Sie aktualisieren möchten.
-
Wählen Sie die Registerkarte Sicherheit und anschließend Geografische Einschränkungen aus.
-
Wählen Sie Edit (Bearbeiten) aus.
-
Wählen Sie Allow list (Genehmigungsliste) aus, um eine Liste der zulässigen Länder zu erstellen, oder Block list (Blockliste), um eine Liste der gesperrten Länder zu erstellen.
-
Fügen Sie die gewünschten Länder zur Liste hinzu und wählen Sie dann Save changes (Änderungen speichern) aus.
Verwenden Sie einen Geolocation-Dienst eines Drittanbieters
Mit der Funktion für CloudFront geografische Beschränkungen kontrollieren Sie die Verteilung Ihrer Inhalte auf Landesebene für alle Dateien, die Sie mit einer bestimmten Webdistribution verteilen. Wenn Sie einen Anwendungsfall für geografische Einschränkungen haben, bei dem die Beschränkungen nicht an Landesgrenzen gebunden sind, oder wenn Sie den Zugriff nur auf einige der Dateien beschränken möchten, die Sie über eine bestimmte Distribution bereitstellen, können Sie die Verbindung CloudFront mit einem Geolokalisierungsdienst eines Drittanbieters kombinieren. Auf diese Weise haben Sie die Kontrolle über Ihre Inhalte nicht nur anhand des Landes, sondern auch anhand von StadtZIP, Postleitzahl oder sogar Breitengrad und Längengrad.
Wenn Sie einen Geolokalisierungsdienst eines Drittanbieters verwenden, empfehlen wir Ihnen, CloudFront signiert zu verwendenURLs, mit dem Sie ein Ablaufdatum und eine Uhrzeit angeben können, nach deren Ablauf das nicht mehr URL gültig ist. Darüber hinaus empfehlen wir Ihnen, einen Amazon S3 S3-Bucket als Quelle zu verwenden, da Sie dann eine CloudFront Origin-Zugriffskontrolle verwenden können, um zu verhindern, dass Benutzer direkt vom Ursprung aus auf Ihre Inhalte zugreifen. Weitere Informationen zur signierten Zugriffskontrolle URLs und zur Herkunftszugriffskontrolle finden Sie unterStellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.
In den folgenden Schritten wird erläutert, wie Sie den Zugriff auf Ihre Dateien mithilfe eines Geolokalisierungsservices eines Drittanbieters kontrollieren können.
So verwenden Sie einen Geolocation-Dienst eines Drittanbieters, um den Zugriff auf Dateien in einer Distribution einzuschränken CloudFront
-
Legen Sie ein Konto bei einem Geolokalisierungsdienst an.
-
Laden Sie Ihre Inhalte in einen Amazon-S3-Bucket hoch.
-
Konfigurieren Sie Amazon CloudFront und Amazon S3 für die Bereitstellung privater Inhalte. Weitere Informationen finden Sie unter Stellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.
-
Schreiben Sie Ihre Webanwendung so, dass folgende Aufgaben ausgeführt werden:
-
Senden der IP-Adresse für jede Benutzeranfrage an den Geolokalisierungsdienst.
-
Bewerten Sie den Rückgabewert des Geolocation-Service, um festzustellen, ob sich der Benutzer an einem Ort befindet, an dem Sie Ihre CloudFront Inhalte verteilen möchten.
-
Wenn Sie Ihre Inhalte an den Standort des Benutzers verteilen möchten, generieren Sie eine Signatur URL für Ihre CloudFront Inhalte. Wenn Sie keine Inhalte an diesem Ort verteilen möchten, geben Sie dem Benutzer
403 (Forbidden)
den HTTP Statuscode zurück. Alternativ können Sie so konfigurieren CloudFront , dass eine benutzerdefinierte Fehlermeldung zurückgegeben wird. Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Fehlerseite für bestimmte HTTP Statuscodes.
Weitere Informationen finden Sie in der Dokumentation für den Geolokationsdienst, den Sie verwenden.
-
Sie können die IP-Adressen der Besucher Ihrer Website mithilfe einer Webserver-Variablen abrufen. Beachten Sie folgende Einschränkungen:
-
Wenn Ihr Webserver nicht über einen Load Balancer mit dem Internet verbunden ist, können Sie eine Webserver-Variable verwenden, um die IP-Remote-Adresse abzurufen. Diese IP-Adresse ist jedoch nicht immer die IP-Adresse des Benutzers. Es kann sich dabei auch um die IP-Adresse eines Proxy-Servers handeln, je nachdem, wie der Benutzer mit dem Internet verbunden ist.
-
Wenn Ihr Webserver über einen Load Balancer mit dem Internet verbunden ist, enthält eine Webserver-Variable möglicherweise die IP-Adresse des Load Balancers, nicht die IP-Adresse des Benutzers. In dieser Konfiguration empfehlen wir, die letzte IP-Adresse im
X-Forwarded-For
HTTP Header zu verwenden. Dieser Header enthält in der Regel mehr als eine IP-Adresse, von denen die meisten für Proxys oder Load Balancer gelten. Die letzte IP-Adresse in der Liste wird am wahrscheinlichsten mit dem geografischen Standort des Benutzers verknüpft.
Wenn Ihr Webserver nicht mit einem Load Balancer verbunden ist, empfehlen wir, anstelle des X-Forwarded-For
-Headers Webserver-Variablen zu verwenden, um Spoofing von IP-Adressen zu vermeiden.