Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudFront bietet Origin Access Control (OAC) zur Beschränkung des Zugriffs auf einen MediaPackage v2-Ursprung.
Anmerkung
CloudFront OAC unterstützt nur v2. MediaPackage MediaPackage Version 1 wird nicht unterstützt.
Ein neues OAC erstellen
Führen Sie die in den folgenden Themen beschriebenen Schritte aus, um ein neues OAC in einzurichten. CloudFront
Themen
Voraussetzungen
Bevor Sie OAC erstellen und einrichten, müssen Sie über eine CloudFront Distribution mit MediaPackage v2-Ursprung verfügen. Weitere Informationen finden Sie unter Verwenden Sie einen MediaStore Container oder einen MediaPackage Channel.
Erteilen Sie dem OAC die Erlaubnis, auf den MediaPackage v2-Ursprung zuzugreifen
Bevor Sie ein OAC erstellen oder es in einer CloudFront Distribution einrichten, stellen Sie sicher, dass das OAC über die Zugriffsberechtigung für den MediaPackage v2-Ursprung verfügt. Tun Sie dies, nachdem Sie eine CloudFront Distribution erstellt haben, aber bevor Sie das OAC dem MediaPackage v2-Ursprung in der Distributionskonfiguration hinzufügen.
Um dem OAC die Erlaubnis zu erteilen, auf den MediaPackage v2-Ursprung zuzugreifen, verwenden Sie eine IAM-Richtlinie, die dem CloudFront Dienstprinzipal (cloudfront.amazonaws.com
) den Zugriff auf den Ursprung ermöglicht. Das Condition
Element in der Richtlinie ermöglicht den CloudFront Zugriff auf den MediaPackage v2-Ursprung nur, wenn die Anfrage im Namen der CloudFront Distribution erfolgt, die den MediaPackage v2-Ursprung enthält.
Beispiel : IAM-Richtlinie, die den schreibgeschützten Zugriff auf eine Distribution ermöglicht CloudFront
Die folgende Richtlinie ermöglicht der CloudFront Distribution (
) den Zugriff auf den v2-Ursprung. MediaPackage Der Ursprung ist der für das E1PDK09ESKHJWT
Resource
Element angegebene ARN.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontServicePrincipal",
"Effect": "Allow",
"Principal": {"Service": "cloudfront.amazonaws.com"},
"Action": "mediapackagev2:GetObject",
"Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/channel-group-name
/channel/channel-name
/originEndpoint/origin_endpoint_name
",
"Condition": {
"StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT
"}
}
}
]
}
Anmerkung
Wenn Sie eine Distribution erstellen, die keine Berechtigungen für Ihren MediaPackage v2-Ursprung hat, können Sie in der CloudFront Konsole „Richtlinie kopieren“ und dann „Endpunktberechtigungen aktualisieren“ auswählen. Anschließend können Sie die kopierte Berechtigung an den Endpunkt anhängen. Weitere Informationen finden Sie im AWS Elemental MediaPackage Benutzerhandbuch unter Felder für Endpunktrichtlinien.
Das OAC erstellen
Um ein OAC zu erstellen, können Sie die AWS Management Console, AWS CloudFormation AWS CLI, oder die CloudFront API verwenden.
Um ein OAC zu erstellen
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home
. -
Wählen Sie im Navigationsbereich Origin access (Ursprungszugriff) aus.
-
Wählen Sie Create control setting (Kontrolleinstellung erstellen) aus.
-
Gehen Sie im Formular Neues OAC erstellen wie folgt vor:
-
Geben Sie einen Namen und (optional) eine Beschreibung für das OAC ein.
-
Für das Signierverhalten empfehlen wir, die Standardeinstellung beizubehalten (Anfragen signieren (empfohlen)). Weitere Informationen finden Sie unter Erweiterte Einstellungen für die Ursprungszugriffssteuerung.
-
-
Wählen Sie als Origin-Typ MediaPackage V2 aus.
-
Wählen Sie Erstellen.
Tipp
Nachdem Sie das OAC erstellt haben, notieren Sie sich den Namen. Sie benötigen diesen im folgenden Verfahren.
Um ein OAC zu einem MediaPackage v2-Ursprung in einer Distribution hinzuzufügen
Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home
-
Wählen Sie eine Distribution mit einem MediaPackage V2-Ursprung aus, zu der Sie das OAC hinzufügen möchten, und wählen Sie dann den Tab Origins.
-
Wählen Sie den MediaPackage v2-Ursprung aus, zu dem Sie das OAC hinzufügen möchten, und wählen Sie dann Bearbeiten.
-
Wählen Sie HTTPS only (Nur HTTPS) für Protocol (Protokoll) Ihres Ursprungs aus.
-
Wähle aus dem Drop-down-Menü für die Origin-Zugriffskontrolle den OAC-Namen aus, den du verwenden möchtest.
-
Wählen Sie Änderungen speichern aus.
Die Distribution beginnt mit der Bereitstellung an allen CloudFront Edge-Standorten. Wenn ein Edge-Standort die neue Konfiguration empfängt, signiert er alle Anfragen, die er an den MediaPackage v2-Ursprung sendet.
Erweiterte Einstellungen für die Ursprungszugriffssteuerung
Die CloudFront OAC-Funktion umfasst erweiterte Einstellungen, die nur für bestimmte Anwendungsfälle vorgesehen sind. Verwenden Sie die empfohlenen Einstellungen, sofern Sie die erweiterten Einstellungen nicht speziell benötigen.
OAC enthält eine Einstellung mit dem Namen Signaturverhalten (in der Konsole) oder SigningBehavior
(in der API, CLI und AWS CloudFormation). Diese Einstellung bietet die folgenden Optionen:
- Ursprungsanforderungen immer signieren (empfohlene Einstellung)
-
Wir empfehlen die Verwendung dieser Einstellung mit der Bezeichnung Sign requests (recommended) (Anforderungen signieren (empfohlen)) in der Konsole bzw.
always
in der API, CLI und AWS CloudFormation. Mit dieser Einstellung werden CloudFront immer alle Anfragen signiert, die an den MediaPackage v2-Ursprung gesendet werden. - Ursprungsanforderungen nie signieren
-
Diese Einstellung heißt Do not sign requests (Anforderungen nicht signieren) in der Konsole bzw.
never
in der API, CLI und AWS CloudFormation. Verwenden Sie diese Einstellung, um OAC für alle Ursprünge in allen Distributionen zu deaktivieren, die dieses OAC verwenden. Dies kann Zeit und Mühe sparen, verglichen mit dem Entfernen eines OAC nacheinander aus allen Origins und Distributionen, die es verwenden. Mit dieser Einstellung signiert CloudFront es keine Anfragen, die es an den MediaPackage v2-Ursprung sendet.Warnung
Um diese Einstellung verwenden zu können, muss der MediaPackage v2-Ursprung öffentlich zugänglich sein. Wenn Sie diese Einstellung mit einem MediaPackage v2-Ursprung verwenden, der nicht öffentlich zugänglich ist, CloudFront können Sie nicht auf den Ursprung zugreifen. Der MediaPackage v2-Ursprung gibt Fehler an die Zuschauer zurück CloudFront und CloudFront leitet diese Fehler an sie weiter. Weitere Informationen finden Sie im AWS Elemental MediaPackage Benutzerhandbuch MediaPackage im Beispiel für eine MediaPackage v2-Richtlinie für Richtlinien und Berechtigungen.
- Viewer (Client)-
Authorization
-Header nicht überschreiben -
Diese Einstellung heißt Do not override authorization header (Autorisierungsheader nicht überschreiben) in der Konsole bzw.
no-override
in der API, CLI und AWS CloudFormation. Verwenden Sie diese Einstellung, wenn Sie Originalanfragen nur signieren CloudFront möchten, wenn die entsprechende Viewer-Anfrage keinenAuthorization
Header enthält. Mit dieser Einstellung wird derAuthorization
Header der Viewer-Anfrage weitergegeben, CloudFront wenn eine vorhanden ist, signiert aber die ursprüngliche Anfrage (fügt einen eigenenAuthorization
Header hinzu), wenn die Viewer-Anfrage keinenAuthorization
Header enthält.Warnung
Um den
Authorization
Header aus der Viewer-Anfrage weiterzugeben, müssen Sie denAuthorization
Header zu einer Cache-Richtlinie für alle Cache-Verhaltensweisen hinzufügen, die MediaPackage v2-Ursprünge verwenden, die mit dieser ursprünglichen Zugriffskontrolle verknüpft sind.