Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limitazione dell'accesso a un'origine AWS Elemental MediaPackage v2
CloudFront fornisce il controllo dell'accesso all'origine (OAC) per limitare l'accesso a un'origine v2. MediaPackage
Nota
CloudFront OAC supporta solo la versione 2. MediaPackage MediaPackage la v1 non è supportata.
Creazione di un nuovo OAC
Completa i passaggi descritti nei seguenti argomenti per configurare un nuovo OAC in. CloudFront
Argomenti
Prerequisiti
Prima di creare e configurare OAC, è necessario disporre di una CloudFront distribuzione con origine MediaPackage v2. Per ulteriori informazioni, consulta Usa un MediaStore contenitore o un canale MediaPackage .
Concedere all'OAC l'autorizzazione ad accedere all'origine v2 MediaPackage
Prima di creare un OAC o configurarlo in una CloudFront distribuzione, assicurati che l'OAC disponga dell'autorizzazione per accedere all'origine v2. MediaPackage Esegui questa operazione dopo aver creato una CloudFront distribuzione, ma prima di aggiungere l'OAC all'origine MediaPackage v2 nella configurazione di distribuzione.
Per concedere all'OAC l'autorizzazione ad accedere all'origine MediaPackage v2, utilizza una policy IAM per consentire al CloudFront service principal (cloudfront.amazonaws.com
) di accedere all'origine. L'Condition
elemento della policy consente di accedere CloudFront all'origine MediaPackage v2 solo quando la richiesta è per conto della CloudFront distribuzione che contiene l' MediaPackage origine v2.
Esempio : policy IAM che consente l'accesso in sola lettura a una distribuzione CloudFront
La seguente politica consente alla CloudFront distribuzione (
) l'accesso all'origine MediaPackage v2. L'origine è l'ARN specificato per l'E1PDK09ESKHJWT
Resource
elemento.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCloudFrontServicePrincipal", "Effect": "Allow", "Principal": {"Service": "cloudfront.amazonaws.com"}, "Action": "mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/
channel-group-name
/channel/channel-name
/originEndpoint/origin_endpoint_name
", "Condition": { "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT
"} } } ] }
Nota
Se crei una distribuzione che non dispone dell'autorizzazione per la tua origine MediaPackage v2, puoi scegliere Copy policy dalla CloudFront console e quindi scegliere Update endpoint permissions. Puoi quindi allegare l'autorizzazione copiata all'endpoint. Per ulteriori informazioni, consulta i campi delle policy sugli endpoint nella Guida per l'AWS Elemental MediaPackage utente.
Creazione dell'OAC
Per creare un OAC, puoi utilizzare l' AWS Management Console, AWS CloudFormation AWS CLI, o l' CloudFront API.
Impostazioni avanzate per il controllo dell'accesso all'origine
La funzionalità CloudFront OAC include impostazioni avanzate destinate solo a casi d'uso specifici. Usa le impostazioni consigliate a meno che tu non abbia una necessità specifica per le impostazioni avanzate.
OAC contiene un'impostazione denominata Signing behavior (nella console) o SigningBehavior
(nell'API, nella CLI e). AWS CloudFormation Questa impostazione offre le seguenti opzioni:
- Firma sempre le richieste di origine (impostazione consigliata)
-
Si consiglia di utilizzare questa impostazione, denominata Richieste di firma (consigliata) nella console, oppure
always
nell'API, nell'interfaccia a riga di comando e AWS CloudFormation. Con questa impostazione, firma CloudFront sempre tutte le richieste che invia all'origine MediaPackage v2. - Non firmare le richieste di origine
-
Questa impostazione è denominata Non firmare le richieste nella console, oppure
never
nell'API, nell'interfaccia a riga di comando e AWS CloudFormation. Usa questa impostazione per disattivare l'OAC per tutte le origini in tutte le distribuzioni che utilizzano questo OAC. Ciò consente di risparmiare tempo e fatica rispetto alla rimozione di un OAC da tutte le origini e le distribuzioni che lo utilizzano, una per una. Con questa impostazione, CloudFront non firma alcuna richiesta inviata all'origine MediaPackage v2.avvertimento
Per utilizzare questa impostazione, l'origine MediaPackage v2 deve essere accessibile pubblicamente. Se utilizzi questa impostazione con un'origine MediaPackage v2 che non è accessibile pubblicamente, non CloudFront puoi accedere all'origine. L'origine MediaPackage v2 restituisce gli errori CloudFront e li CloudFront trasmette agli spettatori. Per ulteriori informazioni, consulta l'esempio della politica MediaPackage v2 per le politiche e le autorizzazioni MediaPackage nella Guida per l'utente.AWS Elemental MediaPackage
- Non ignorare l'intestazione del visualizzatore (client)
Authorization
-
Questa impostazione è denominata Non sovrascrivere l'intestazione di autorizzazionenella console, oppure
no-override
nell'API, nell'interfaccia a riga di comando e AWS CloudFormation. Utilizzate questa impostazione quando desiderate firmare CloudFront le richieste di origine solo quando la richiesta del visualizzatore corrispondente non include un'Authorization
intestazione. Con questa impostazione, CloudFront trasmette l'Authorization
intestazione della richiesta del visualizzatore quando ne è presente una, ma firma la richiesta di origine (aggiungendo la propriaAuthorization
intestazione) quando la richiesta del visualizzatore non include un'intestazione.Authorization
avvertimento
Per trasmettere l'
Authorization
intestazione dalla richiesta del visualizzatore, è necessario aggiungere l'Authorization
intestazione a una politica di cache per tutti i comportamenti della cache che utilizzano le origini MediaPackage v2 associate a questo controllo di accesso all'origine.