プライベートコンテンツ提供の概要 - Amazon CloudFront
キャッシュ内の CloudFrontファイルへのアクセスの制限Amazon S3 バケット内のファイルへのアクセス制限 カスタムオリジン上のファイルへのアクセス制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベートコンテンツ提供の概要

プライベートコンテンツへのユーザーアクセスは 2 つの方法を使用して制御可能です。

キャッシュ内の CloudFrontファイルへのアクセスの制限

ユーザーが署名URLs または署名付き Cookie を使用してファイルにアクセスするように要求 CloudFront するように を設定できます。次に、署名付き URL を作成して認証されたユーザーに配信するか、認証されたユーザーの署名付き Cookie を設定する Set-Cookie ヘッダーを送信するアプリケーションを開発します (少数のファイルへの長期的なアクセスを数人のユーザーに付与するために、署名付き URL を手動で作成することもできます)。

ファイルへのアクセスを制御するための署名付き URL または署名付き Cookie を作成するときに、次の制限を指定できます。

  • 最終日時。この日時以降、URL が有効ではなくなります。

  • (オプション) URL が有効になる日時。

  • (オプション) コンテンツへのアクセスに使用可能なコンピュータの IP アドレスまたはアドレス範囲。

署名付き URL または署名付き Cookie では、パブリックとプライベートのキーペアのプライベートキーを使用して、一部がハッシュ化され、署名が行われます。誰かが署名付き URL または署名付き Cookie を使用してファイルにアクセスすると、 は URL または Cookie の署名付き部分と署名なし部分 CloudFront を比較します。一致しない場合は、 ファイルを提供し CloudFront ません。

URLs または Cookie の署名には RSA-SHA1 CloudFront を使用する必要があります。他のアルゴリズムは使用できません。

Amazon S3 バケット内のファイルへのアクセス制限

オプションで、Amazon S3 バケット内のコンテンツを保護して、ユーザーが指定された CloudFront ディストリビューションを介してアクセスできても、Amazon S3 URL を使用して直接アクセスできないようにすることができます。 URLs これにより、アクセスを制限するコンテンツを取得するために、誰かが Amazon S3 URL をバイパス CloudFront して使用できなくなります。署名付き URL を使用するためにこの手順を実行する必要はありませんが、推奨します。

URL を介してコンテンツにアクセスすることをユーザーに要求するには CloudFront URLs 、次のタスクを実行します。

  • S3 バケット内のファイルを読み取るためのオ CloudFront リジンアクセスコントロール許可を付与します。

  • オリジンアクセスコントロールを作成し、 CloudFront ディストリビューションに関連付けます。

  • Amazon S3 URL を使用してファイルを読み取るためのアクセス許可を、他のすべてのユーザーから削除します。

詳しくは、「Amazon S3 オリジンへのアクセスの制限」を参照してください。

カスタムオリジン上のファイルへのアクセス制限

カスタムオリジンを使用する場合は、カスタムヘッダーをオプションで設定して、アクセスを制限できます。 CloudFront がカスタムオリジンからファイルを取得するには、標準の HTTP (または HTTPS) リクエストCloudFront を使用してファイルにアクセスできる必要があります。ただし、カスタムヘッダーを使用すると、コンテンツへのアクセスをさらに制限して、ユーザーが直接ではなく CloudFrontを介してのみアクセスできるようにすることができます。署名付き URL を使用するためにこの手順を実行する必要はありませんが、推奨します。

ユーザーが を介してコンテンツにアクセスできるようにするには CloudFront、ディス CloudFront トリビューションで次の設定を変更します。

オリジンのカスタムヘッダー

カスタムヘッダー CloudFront をオリジンに転送するように を設定します。オリジンリクエスト CloudFront にカスタムヘッダーを追加するための の設定 を参照してください。

ビューワープロトコルポリシー

ビューワーが CloudFront にアクセスするのに HTTPS を使用しなければならないようにディストリビューションを設定します。ビューワープロトコルポリシー を参照してください。

オリジンプロトコルポリシー

ビューワーと同じプロトコルを使用してリクエストをオリジンに転送 CloudFront するよう に要求するようにディストリビューションを設定します。プロトコル (カスタムオリジンのみ) を参照してください。

これらの変更を行ったら、送信 CloudFront するように設定したカスタムヘッダーを含むリクエストのみを受け入れるように、カスタムオリジンでアプリケーションを更新します。

ビューワープロトコルポリシーオリジンプロトコルポリシーの組み合わせにより、カスタムヘッダーが転送中に暗号化されます。ただし、 がオリジン CloudFront に転送するカスタムヘッダーをローテーションするには、定期的に次の操作を行うことをお勧めします。

  1. ディス CloudFront トリビューションを更新して、カスタムオリジンへの新しいヘッダーの転送を開始します。

  2. リクエストが から送信されていることの確認として、新しいヘッダーを受け入れるようにアプリケーションを更新します CloudFront。

  3. 置き換えるヘッダーがリクエストに含まれなくなったら、リクエストが から送信されたことを確認するために、古いヘッダーを受け入れないようにアプリケーションを更新します CloudFront。