Restringir el acceso a los archivos en CloudFront las cachés Restricción del acceso a archivos en buckets de Amazon S3 Restricción del acceso a archivos en orígenes personalizados

Información general acerca de la distribución de contenido privado

Puede controlar el acceso de los usuarios al contenido privado de dos maneras:

Restringe el acceso a los archivos de las cachés. CloudFront
Restrinja el acceso a los archivos en su origen de la siguiente manera:
- Configure un control de acceso de origen (OAC) para su bucket de Amazon S3.
- Configure encabezados personalizados para un servidor HTTP privado (un origen personalizado).

Restringir el acceso a los archivos en CloudFront las cachés

Puede configurarlo CloudFront para que los usuarios accedan a sus archivos mediante URL firmadas o cookies firmadas. Después, deberá desarrollar la aplicación para crear y distribuir URL firmadas para los usuarios autenticados o para enviar encabezados Set-Cookie que establecen cookies firmadas para usuarios autenticados. (También puede crear URL firmadas manualmente para ofrecer a unos pocos usuarios acceso largo plazo a un número reducido de archivos).

Si crea URL o cookies firmadas para controlar el acceso a sus archivos, puede especificar las siguientes restricciones:

La fecha y la hora de finalización, a partir de la cual la URL deja de ser válida.
La fecha y la hora a la que la URL pasa a ser válida (opcional).
La dirección IP o a un rango de direcciones IP de los equipos desde los que se puede obtener acceso a su contenido.

A una parte de una URL firmada o una cookie firmada se le aplica el algoritmo hash y se firma con la clave privada de un par de claves públicas-privadas. Cuando alguien usa una URL firmada o una cookie firmada para acceder a un archivo, CloudFront compara las partes firmadas y no firmadas de la URL o cookie. Si no coinciden, CloudFront no sirve el archivo.

Debe usar RSA-SHA1 para firmar las URL o las cookies. CloudFront no acepta otros algoritmos.

Restricción del acceso a archivos en buckets de Amazon S3

Si lo desea, puede proteger el contenido de su bucket de Amazon S3 para que los usuarios puedan acceder a él a través de la CloudFront distribución especificada, pero no puedan acceder a él directamente mediante las URL de Amazon S3. Esto evita que alguien pase por alto CloudFront y utilice la URL de Amazon S3 para obtener el contenido al que desea restringir el acceso. Este paso no es necesario para utilizar URL firmadas, pero recomendamos seguirlo.

Para exigir que los usuarios accedan a su contenido a través de CloudFront direcciones URL, realice las siguientes tareas:

Conceda un permiso de control de acceso a CloudFront Origin para leer los archivos del bucket de S3.
Cree el control de acceso de origen y asócielo a su CloudFront distribución.
Quite a todos los demás el permiso para usar URL de Amazon S3 para leer los archivos.

Para obtener más información, consulte Restricción del acceso a un origen de Amazon S3.

Restricción del acceso a archivos en orígenes personalizados

Si utiliza un origen personalizado, tiene la opción de configurar encabezados personalizados para restringir el acceso. CloudFront Para obtener los archivos de un origen personalizado, se debe poder acceder a ellos CloudFront mediante una solicitud HTTP (o HTTPS) estándar. Sin embargo, al usar encabezados personalizados, puedes restringir aún más el acceso a tu contenido para que los usuarios puedan acceder a él solo a través de élCloudFront, no directamente. Este paso no es necesario para utilizar URL firmadas, pero recomendamos seguirlo.

Para exigir que los usuarios accedan al contenido a través de CloudFront él, cambie la siguiente configuración en sus CloudFront distribuciones:

Encabezados personalizados de origen: Configure CloudFront para reenviar los encabezados personalizados a su origen. Consulte Se configura CloudFront para añadir encabezados personalizados a las solicitudes de origen.
Viewer Protocol Policy: Configure la distribución para solicitar a los espectadores que utilicen HTTPS para obtener acceso a CloudFront. Consulte Política de protocolo para lectores.
Origin Protocol Policy: Configura tu distribución para que requiera CloudFront el uso del mismo protocolo que los espectadores para reenviar las solicitudes al origen. Consulte Protocolo (solo orígenes personalizados).

Una vez que hayas realizado estos cambios, actualiza la aplicación en tu origen personalizado para que solo acepte las solicitudes que incluyan los encabezados personalizados que hayas configurado CloudFront para su envío.

La combinación de Viewer Protocol Policy (Política de protocolo del lector) y Origin Protocol Policy (Política de protocolo de origen) garantiza que los encabezados personalizados se cifren en tránsito. Sin embargo, te recomendamos que hagas lo siguiente de forma periódica para rotar los encabezados personalizados que se dirigen a tu CloudFront origen:

Actualiza tu CloudFront distribución para empezar a reenviar un encabezado nuevo a tu origen personalizado.
Actualiza tu solicitud para aceptar el nuevo encabezado como confirmación del origen de CloudFront la solicitud.
Cuando las solicitudes ya no incluyan el encabezado que estás reemplazando, actualiza tu aplicación para que no acepte el encabezado anterior como confirmación del origen de la solicitud CloudFront.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Restricción de contenido con URL firmadas y cookies firmadas

Lista de tareas para la distribución de contenido privado