Übersicht über das Bereitstellen privater Inhalte - Amazon CloudFront
Beschränken des Zugriffs auf Dateien in CloudFront CachesBeschränken des Zugriffs auf Dateien in Amazon S3 Buckets Beschränken des Zugriffs auf Dateien auf benutzerdefinierten Ursprungsservern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über das Bereitstellen privater Inhalte

Sie können den Benutzerzugriff auf Ihre privaten Inhalte auf zwei Arten steuern:

Beschränken des Zugriffs auf Dateien in CloudFront Caches

Sie können CloudFront so konfigurieren, dass Benutzer entweder über signierte URLs oder über signierte Cookies auf Ihre Dateien zugreifen müssen. Anschließend entwickeln Sie Ihre Anwendung entweder so, dass signierte URLs erstellt und an authentifizierte Benutzer verteilt werden, oder so, dass Set-Cookie-Header gesendet werden, die signierte Cookies für authentifizierte Benutzer setzen. (Wenn Sie einigen Benutzern langfristigen Zugriff auf eine geringe Anzahl von Dateien gewähren möchten, können Sie auch manuell signierte URLs erstellen.)

Wenn Sie signierte URLs oder signierte Cookies erstellen, um den Zugriff auf Ihre Dateien zu kontrollieren, können Sie die folgenden Einschränkungen angeben:

  • Ein Enddatum und eine Endzeit, nach welchen die URL nicht mehr gültig ist.

  • (Optional) Das Datum und die Zeit, an welchen die URL gültig wird.

  • (Optional) Die IP-Adresse oder der IP-Adressbereich der Computer, die für den Zugriff auf Ihre Inhalte verwendet werden können.

Ein Teil einer signierten URL oder eines signierten Cookies wird gehasht und mit dem privaten Schlüssel von einem Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel signiert. Wenn jemand eine signierte URL oder ein signiertes Cookie verwendet, um auf eine Datei zuzugreifen, führt einen CloudFront Vergleich der signierten und nicht signierten Teile der URL oder des Cookies durch. Wenn sie nicht übereinstimmen, CloudFront stellt die Datei nicht bereit.

Sie müssen RSA-SHA1 zum Signieren von URLs oder Cookies verwenden. akzeptiert keine anderen CloudFront Algorithmen.

Beschränken des Zugriffs auf Dateien in Amazon S3 Buckets

Sie können optional den Inhalt in Ihrem Amazon S3-Bucket sichern, sodass Benutzer über die angegebene CloudFront Verteilung darauf zugreifen können, aber nicht direkt über Amazon S3-URLs darauf zugreifen können. Dadurch wird verhindert, dass jemand die Amazon S3-URL umgeht CloudFront und verwendet, um Inhalte abzurufen, auf die Sie den Zugriff einschränken möchten. Dieser Schritt ist für die Verwendung signierter URLs nicht notwendig, wird jedoch empfohlen.

Um zu verlangen, dass Benutzer über CloudFront URLs auf Ihre Inhalte zugreifen, führen Sie die folgenden Aufgaben aus:

  • Erteilen Sie einer CloudFront Ursprungszugriffssteuerung die Berechtigung zum Lesen der Dateien im S3-Bucket.

  • Erstellen Sie die Ursprungszugriffssteuerung und verknüpfen Sie sie mit Ihrer CloudFront Verteilung.

  • Entfernen Sie die Berechtigung, Amazon S3-URLs zum Lesen der Dateien zu verwenden, für alle anderen Benutzer.

Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte.

Beschränken des Zugriffs auf Dateien auf benutzerdefinierten Ursprungsservern

Wenn Sie einen benutzerdefinierten Ursprungsserver verwenden, können Sie optional benutzerdefinierte Header einrichten, um den Zugriff einzuschränken. Damit Ihre Dateien von einem benutzerdefinierten Ursprung CloudFront abrufen kann, müssen die Dateien CloudFront über eine Standard-HTTP-Anfrage (oder HTTPS) zugänglich sein. Durch die Verwendung benutzerdefinierter Header können Sie den Zugriff auf Ihre Inhalte weiter einschränken, sodass Benutzer nur über CloudFrontund nicht direkt darauf zugreifen können. Dieser Schritt ist für die Verwendung signierter URLs nicht notwendig, wird jedoch empfohlen.

Um zu verlangen, dass Benutzer über auf Inhalte zugreifen CloudFront, ändern Sie die folgenden Einstellungen in Ihren CloudFront Verteilungen:

Angepasste Ursprungs-Header

Konfigurieren Sie CloudFront so, dass benutzerdefinierte Header an Ihren Ursprung weitergeleitet werden. Siehe Konfigurieren von CloudFront zum Hinzufügen benutzerdefinierter Header zu Ursprungsanforderungen.

Viewer-Protokollrichtlinien

Konfigurieren Sie Ihre Verteilung so, dass Betrachter für den Zugriff auf Ihre CloudFront HTTPS verwenden müssen. Siehe Viewer-Protokollrichtlinien.

Ursprungsprotokollrichtlinien

Konfigurieren Sie Ihre Verteilung so, dass dasselbe Protokoll wie Betrachter verwendet CloudFront werden muss, um Anfragen an den Ursprung weiterzuleiten. Siehe Protokoll (nur benutzerdefinierte Ursprünge).

Nachdem Sie diese Änderungen vorgenommen haben, aktualisieren Sie Ihre Anwendung auf Ihrem benutzerdefinierten Ursprung, um nur Anforderungen zu akzeptieren, die die benutzerdefinierten Header enthalten, die Sie CloudFront zum Senden konfiguriert haben.

Die Kombination aus Viewer Protocol Policy (Viewer-Protokollrichtlinie) und Origin Protocol Policy (Ursprungs-Protokollrichtlinie) stellt sicher, dass die benutzerdefinierten Header während der Übertragung verschlüsselt werden. Wir empfehlen jedoch, regelmäßig die folgenden Schritte auszuführen, um die benutzerdefinierten Header zu rotieren, die an Ihren Ursprung CloudFront weiterleitet:

  1. Aktualisieren Sie Ihre CloudFront Verteilung, um mit der Weiterleitung eines neuen Headers an Ihren benutzerdefinierten Ursprung zu beginnen.

  2. Aktualisieren Sie Ihre Anwendung, um den neuen Header als Bestätigung zu akzeptieren, dass die Anforderung von stammt CloudFront.

  3. Wenn Anforderungen den Header, den Sie ersetzen, nicht mehr enthalten, aktualisieren Sie Ihre Anwendung so, dass sie den alten Header nicht mehr akzeptiert, um zu bestätigen, dass die Anforderung von stammt CloudFront.