Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membatasi akses ke asal AWS Elemental MediaPackage v2
CloudFront menyediakan kontrol akses asal (OAC) untuk membatasi akses ke asal MediaPackage v2.
catatan
CloudFront OAC hanya mendukung MediaPackage v2. MediaPackage v1 tidak didukung.
Membuat OAC baru
Selesaikan langkah-langkah yang dijelaskan dalam topik berikut untuk menyiapkan OAC baru. CloudFront
Prasyarat
Sebelum Anda membuat dan mengatur OAC, Anda harus memiliki CloudFront distribusi dengan asal MediaPackage v2. Untuk informasi selengkapnya, lihat Gunakan MediaStore wadah atau MediaPackage saluran.
Memberikan izin OAC untuk mengakses asal MediaPackage v2
Sebelum Anda membuat OAC atau mengaturnya dalam CloudFront distribusi, pastikan OAC memiliki izin untuk mengakses asal MediaPackage v2. Lakukan ini setelah Anda membuat CloudFront distribusi, tetapi sebelum Anda menambahkan OAC ke asal MediaPackage v2 dalam konfigurasi distribusi.
Untuk memberikan izin OAC untuk mengakses asal MediaPackage v2, gunakan kebijakan IAM untuk mengizinkan prinsipal CloudFront layanan (cloudfront.amazonaws.com
) mengakses asal. Condition
Elemen dalam kebijakan memungkinkan CloudFront untuk mengakses asal MediaPackage v2 hanya jika permintaan atas nama CloudFront distribusi yang berisi asal MediaPackage v2.
contoh : Kebijakan IAM yang memungkinkan akses hanya-baca ke distribusi CloudFront
Kebijakan berikut memungkinkan akses CloudFront distribusi (
) ke asal MediaPackage v2. Asal adalah ARN yang ditentukan untuk elemen. E1PDK09ESKHJWT
Resource
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCloudFrontServicePrincipal", "Effect": "Allow", "Principal": {"Service": "cloudfront.amazonaws.com"}, "Action": "mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/
channel-group-name
/channel/channel-name
/originEndpoint/origin_endpoint_name
", "Condition": { "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT
"} } } ] }
catatan
Jika Anda membuat distribusi yang tidak memiliki izin ke asal MediaPackage v2 Anda, Anda dapat memilih Salin kebijakan dari CloudFront konsol dan kemudian memilih Perbarui izin titik akhir. Anda kemudian dapat melampirkan izin yang disalin ke titik akhir. Untuk informasi selengkapnya, lihat bidang kebijakan titik akhir di Panduan AWS Elemental MediaPackage Pengguna.
Membuat OAC
Untuk membuat OAC, Anda dapat menggunakan AWS Management Console AWS CloudFormation, AWS CLI, atau CloudFront API.
Pengaturan lanjutan untuk kontrol akses asal
Fitur CloudFront OAC mencakup pengaturan lanjutan yang ditujukan hanya untuk kasus penggunaan tertentu. Gunakan pengaturan yang disarankan kecuali Anda memiliki kebutuhan khusus untuk pengaturan lanjutan.
OAC berisi setelan bernama Perilaku penandatanganan (di konsol), atau SigningBehavior
(di API, CLI, AWS CloudFormation dan). Pengaturan ini menyediakan opsi berikut:
- Selalu tandatangani permintaan asal (pengaturan yang disarankan)
-
Sebaiknya gunakan pengaturan ini, bernama Permintaan tanda (disarankan) di konsol, atau
always
di API, CLI, dan. AWS CloudFormation Dengan pengaturan ini, CloudFront selalu tandatangani semua permintaan yang dikirim ke asal MediaPackage v2. - Jangan pernah menandatangani permintaan asal
-
Pengaturan ini diberi nama Jangan menandatangani permintaan di konsol, atau
never
di API, CLI, dan. AWS CloudFormation Gunakan pengaturan ini untuk mematikan OAC untuk semua asal di semua distribusi yang menggunakan OAC ini. Ini dapat menghemat waktu dan tenaga dibandingkan dengan menghapus OAC dari semua asal dan distribusi yang menggunakannya, satu per satu. Dengan pengaturan ini, CloudFront tidak menandatangani permintaan apa pun yang dikirim ke asal MediaPackage v2.Awas
Untuk menggunakan pengaturan ini, asal MediaPackage v2 harus dapat diakses publik. Jika Anda menggunakan setelan ini dengan asal MediaPackage v2 yang tidak dapat diakses publik, tidak CloudFront dapat mengakses asal. Asal MediaPackage v2 mengembalikan kesalahan ke CloudFront dan CloudFront meneruskan kesalahan tersebut ke pemirsa. Untuk informasi selengkapnya, lihat contoh kebijakan MediaPackage v2 untuk Kebijakan dan Izin MediaPackage di Panduan AWS Elemental MediaPackage Pengguna.
- Jangan mengganti header penampil (klien)
Authorization
-
Pengaturan ini diberi nama Jangan timpa header otorisasi di konsol, atau
no-override
di API, CLI, dan. AWS CloudFormation Gunakan setelan ini saat Anda CloudFront ingin menandatangani permintaan asal hanya jika permintaan penampil yang sesuai tidak menyertakanAuthorization
header. Dengan pengaturan ini, CloudFront meneruskanAuthorization
header dari permintaan penampil saat ada, tetapi menandatangani permintaan asal (menambahkan tajuknya sendiriAuthorization
) saat permintaan penampil tidak menyertakanAuthorization
header.Awas
Untuk meneruskan
Authorization
header dari permintaan penampil, Anda harus menambahkanAuthorization
header ke kebijakan cache untuk semua perilaku cache yang menggunakan asal MediaPackage v2 yang terkait dengan kontrol akses asal ini.