Restreindre l'accès aux fichiers - Amazon CloudFront

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restreindre l'accès aux fichiers

Vous pouvez contrôler l’accès des utilisateurs à votre contenu privé de deux façons :

Restreindre l'accès aux fichiers dans les CloudFront caches

Vous pouvez configurer CloudFront pour obliger les utilisateurs à accéder à vos fichiers à l'aide de cookies signés URLs ou signés. Vous développez ensuite votre application soit pour créer et distribuer des signatures URLs aux utilisateurs authentifiés, soit pour envoyer Set-Cookie des en-têtes qui définissent des cookies signés pour les utilisateurs authentifiés. (Pour permettre à quelques utilisateurs d'accéder à long terme à un petit nombre de fichiers, vous pouvez également créer des fichiers signés URLs manuellement.)

Lorsque vous créez des cookies signés URLs ou signés pour contrôler l'accès à vos fichiers, vous pouvez définir les restrictions suivantes :

  • Une date et une heure de fin, après lesquelles le n'URLest plus valide.

  • (Facultatif) Date et heure URL de validité.

  • (Facultatif) L’adresse IP ou la plage d’adresses IP des ordinateurs qui peuvent être utilisés pour accéder à votre contenu.

Une partie d'un cookie signé URL ou signé est hachée et signée à l'aide de la clé privée issue d'une paire de clés publique-privée. Lorsqu'un utilisateur utilise un cookie signé URL ou signé pour accéder à un fichier, CloudFront compare les parties signées et non signées du cookie URL ou. S'ils ne correspondent pas, CloudFront ne diffuse pas le fichier.

Vous devez utiliser RSA - SHA1 pour la signature URLs ou les cookies. CloudFront n'accepte pas les autres algorithmes.

Restreindre l'accès aux fichiers dans les compartiments Amazon S3

Vous pouvez éventuellement sécuriser le contenu de votre compartiment Amazon S3 afin que les utilisateurs puissent y accéder via la CloudFront distribution spécifiée, mais ne puissent pas y accéder directement via Amazon S3URLs. Cela empêche quelqu'un de contourner CloudFront et d'utiliser Amazon S3 URL pour obtenir le contenu auquel vous souhaitez restreindre l'accès. Cette étape n'est pas obligatoire pour utiliser SignedURLs, mais nous vous la recommandons.

Pour obliger les utilisateurs à accéder à votre contenu via CloudFront URLs, vous devez effectuer les tâches suivantes :

  • Donnez à une autorisation de contrôle CloudFront d'accès à l'origine l'autorisation de lire les fichiers du compartiment S3.

  • Créez le contrôle d'accès à l'origine et associez-le à votre CloudFront distribution.

  • Supprimez l'autorisation pour toute autre personne d'utiliser Amazon S3 URLs pour lire les fichiers.

Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon Simple Storage Service.

Restreindre l'accès aux fichiers dont l'origine est personnalisée

Si vous utilisez une origine personnalisée, vous pouvez éventuellement configurer des en-têtes personnalisés pour limiter l’accès. CloudFront Pour obtenir vos fichiers à partir d'une origine personnalisée, les fichiers doivent être accessibles à l'CloudFront aide d'une demande standard HTTP (ouHTTPS). Mais en utilisant des en-têtes personnalisés, vous pouvez restreindre davantage l'accès à votre contenu afin que les utilisateurs puissent y accéder uniquement par le biaisCloudFront, et non directement. Cette étape n'est pas obligatoire pour utiliser SignedURLs, mais nous vous la recommandons.

Pour obliger les utilisateurs à accéder au contenu via CloudFront, modifiez les paramètres suivants dans vos CloudFront distributions :

Origin Custom Headers

Configurez CloudFront pour transférer les en-têtes personnalisés vers votre origine. Consultez Configurer CloudFront pour ajouter des en-têtes personnalisés aux demandes d'origine.

Viewer Protocol Policy

Configurez votre distribution pour obliger les spectateurs HTTPS à y accéder CloudFront. Consultez Viewer Protocol Policy.

Origin Protocol Policy

Configurez votre distribution CloudFront pour exiger l'utilisation du même protocole que les spectateurs pour transférer les demandes à l'origine. Consultez Protocole (origines personnalisées uniquement).

Après avoir apporté ces modifications, mettez à jour votre application sur votre origine personnalisée pour n'accepter que les demandes qui incluent les en-têtes personnalisés que vous avez configurés CloudFront pour envoyer.

La combinaison de la Politique de protocole d’utilisateur et de la Politique de protocole d’origine garantit que les en-têtes personnalisés sont chiffrés en transit. Cependant, nous vous recommandons de procéder régulièrement comme suit pour faire pivoter les en-têtes personnalisés qui sont CloudFront renvoyés vers votre origine :

  1. Mettez à jour votre CloudFront distribution pour commencer à transférer un nouvel en-tête vers votre origine personnalisée.

  2. Mettez à jour votre application pour accepter le nouvel en-tête comme confirmation de l'origine de la demande CloudFront.

  3. Lorsque les demandes n'incluent plus l'en-tête que vous remplacez, mettez à jour votre application pour qu'elle n'accepte plus l'ancien en-tête comme confirmation de l'origine de la demande CloudFront.