翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
プライベートコンテンツ提供の概要
プライベートコンテンツへのユーザーアクセスは 2 つの方法を使用して制御可能です。
-
次のいずれかを実行して、オリジン内のファイルへのアクセスを制限します。
キャッシュ内の CloudFrontファイルへのアクセスの制限
ユーザーが署名URLs または署名付き Cookie を使用してファイルにアクセスするように要求 CloudFront するように を設定できます。次に、署名付き URL を作成して認証されたユーザーに配信するか、認証されたユーザーの署名付き Cookie を設定する Set-Cookie
ヘッダーを送信するアプリケーションを開発します (少数のファイルへの長期的なアクセスを数人のユーザーに付与するために、署名付き URL を手動で作成することもできます)。
ファイルへのアクセスを制御するための署名付き URL または署名付き Cookie を作成するときに、次の制限を指定できます。
-
最終日時。この日時以降、URL が有効ではなくなります。
-
(オプション) URL が有効になる日時。
-
(オプション) コンテンツへのアクセスに使用可能なコンピュータの IP アドレスまたはアドレス範囲。
署名付き URL または署名付き Cookie では、パブリックとプライベートのキーペアのプライベートキーを使用して、一部がハッシュ化され、署名が行われます。誰かが署名付き URL または署名付き Cookie を使用してファイルにアクセスすると、 は URL または Cookie の署名付き部分と署名なし部分 CloudFront を比較します。一致しない場合は、 ファイルを提供し CloudFront ません。
URLs または Cookie の署名には RSA-SHA1 CloudFront を使用する必要があります。他のアルゴリズムは使用できません。
Amazon S3 バケット内のファイルへのアクセス制限
オプションで、Amazon S3 バケット内のコンテンツを保護して、ユーザーが指定された CloudFront ディストリビューションを介してアクセスできても、Amazon S3 URL を使用して直接アクセスできないようにすることができます。 URLs これにより、アクセスを制限するコンテンツを取得するために、誰かが Amazon S3 URL をバイパス CloudFront して使用できなくなります。署名付き URL を使用するためにこの手順を実行する必要はありませんが、推奨します。
URL を介してコンテンツにアクセスすることをユーザーに要求するには CloudFront URLs 、次のタスクを実行します。
-
S3 バケット内のファイルを読み取るためのオ CloudFront リジンアクセスコントロール許可を付与します。
-
オリジンアクセスコントロールを作成し、 CloudFront ディストリビューションに関連付けます。
-
Amazon S3 URL を使用してファイルを読み取るためのアクセス許可を、他のすべてのユーザーから削除します。
詳しくは、「Amazon S3 オリジンへのアクセスの制限」を参照してください。
カスタムオリジン上のファイルへのアクセス制限
カスタムオリジンを使用する場合は、カスタムヘッダーをオプションで設定して、アクセスを制限できます。 CloudFront がカスタムオリジンからファイルを取得するには、標準の HTTP (または HTTPS) リクエストCloudFront を使用してファイルにアクセスできる必要があります。ただし、カスタムヘッダーを使用すると、コンテンツへのアクセスをさらに制限して、ユーザーが直接ではなく CloudFrontを介してのみアクセスできるようにすることができます。署名付き URL を使用するためにこの手順を実行する必要はありませんが、推奨します。
ユーザーが を介してコンテンツにアクセスできるようにするには CloudFront、ディス CloudFront トリビューションで次の設定を変更します。
- オリジンのカスタムヘッダー
カスタムヘッダー CloudFront をオリジンに転送するように を設定します。オリジンリクエスト CloudFront にカスタムヘッダーを追加するための の設定 を参照してください。
- ビューワープロトコルポリシー
ビューワーが CloudFront にアクセスするのに HTTPS を使用しなければならないようにディストリビューションを設定します。ビューワープロトコルポリシー を参照してください。
- オリジンプロトコルポリシー
ビューワーと同じプロトコルを使用してリクエストをオリジンに転送 CloudFront するよう に要求するようにディストリビューションを設定します。プロトコル (カスタムオリジンのみ) を参照してください。
これらの変更を行ったら、送信 CloudFront するように設定したカスタムヘッダーを含むリクエストのみを受け入れるように、カスタムオリジンでアプリケーションを更新します。
ビューワープロトコルポリシーとオリジンプロトコルポリシーの組み合わせにより、カスタムヘッダーが転送中に暗号化されます。ただし、 がオリジン CloudFront に転送するカスタムヘッダーをローテーションするには、定期的に次の操作を行うことをお勧めします。
ディス CloudFront トリビューションを更新して、カスタムオリジンへの新しいヘッダーの転送を開始します。
リクエストが から送信されていることの確認として、新しいヘッダーを受け入れるようにアプリケーションを更新します CloudFront。
置き換えるヘッダーがリクエストに含まれなくなったら、リクエストが から送信されたことを確認するために、古いヘッダーを受け入れないようにアプリケーションを更新します CloudFront。