프라이빗 콘텐츠 제공 개요 - 아마존 CloudFront
캐시에 있는 파일에 대한 액세스 제한 CloudFrontAmazon S3 버킷에 있는 파일에 대한 액세스 제한 사용자 지정 오리진의 파일에 대한 액세스 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

프라이빗 콘텐츠 제공 개요

프라이빗 콘텐츠에 대한 사용자 액세스를 두 가지 방법으로 제어할 수 있습니다.

캐시에 있는 파일에 대한 액세스 제한 CloudFront

사용자가 서명된 URL 또는 서명된 쿠키를 사용하여 파일에 CloudFront 액세스하도록 요구하도록 구성할 수 있습니다. 그런 다음 서명된 URL을 만들어 인증된 사용자에게 배포하거나 인증된 사용자를 위해 Set-Cookie 헤더를 보내 서명된 쿠키를 설정하도록 하는 애플리케이션을 개발합니다. (사용자 몇 명에게 적은 수의 파일에 대한 장기 액세스 권한을 부여하려면 서명된 URL을 수동으로 만드는 방법도 있습니다.)

서명된 URL 또는 서명된 쿠키를 만들어 파일 액세스를 제어할 때 다음과 같은 제약 조건을 지정할 수 있습니다.

  • URL의 효력이 사라지는 종료 날짜 및 시간

  • (선택 사항) URL의 효력이 발생하는 날짜 및 시간

  • (선택 사항) 콘텐츠에 액세스할 때 사용할 수 있는 컴퓨터의 IP 주소 또는 주소 범위

퍼블릭–프라이빗 키 페어의 프라이빗 키를 사용하여 서명된 URL 또는 서명된 쿠키의 일부분을 해시 및 서명합니다. 서명된 URL 또는 서명된 쿠키를 사용하여 파일에 액세스하는 경우 URL 또는 쿠키의 서명된 부분과 서명되지 않은 부분을 CloudFront 비교합니다. 일치하지 않으면 파일을 제공하지 CloudFront 않습니다.

URL 또는 쿠키에 서명할 때는 RSA-SHA1 명령을 사용해야 합니다. CloudFront 다른 알고리즘은 허용하지 않습니다.

Amazon S3 버킷에 있는 파일에 대한 액세스 제한

선택적으로 Amazon S3 버킷의 콘텐츠를 보호하여 사용자가 지정된 CloudFront 배포를 통해 콘텐츠에 액세스할 수는 있지만 Amazon S3 URL을 사용하여 직접 액세스할 수는 없도록 할 수 있습니다. 이렇게 하면 액세스를 제한하려는 콘텐츠를 다른 사람이 Amazon S3 URL을 CloudFront 우회하여 사용하는 것을 방지할 수 있습니다. 서명된 URL을 사용하기 위해 꼭 필요한 단계는 아니지만 이렇게 하는 것이 좋습니다.

사용자가 CloudFront URL을 통해 콘텐츠에 액세스하도록 하려면 다음 작업을 수행하십시오.

  • CloudFront 원본 액세스 제어 권한을 부여하여 S3 버킷의 파일을 읽을 수 있습니다.

  • 원본 액세스 제어를 생성하고 이를 CloudFront 배포에 연결합니다.

  • 나머지 모든 사람으로부터 Amazon S3 URL을 사용하여 파일을 읽을 수 있는 권한을 제거합니다.

자세한 설명은 Amazon S3 오리진에 대한 액세스 제한 섹션을 참조하세요.

사용자 지정 오리진의 파일에 대한 액세스 제한

사용자 지정 오리진을 사용하는 경우 선택적으로 사용자 지정 헤더를 설정하여 액세스를 제한할 수 있습니다. 사용자 지정 오리진에서 파일을 CloudFront 가져오려면 표준 HTTP (또는 HTTPS) 요청을 CloudFront 사용하여 파일에 액세스할 수 있어야 합니다. 하지만 사용자 지정 헤더를 사용하면 콘텐츠에 대한 액세스를 추가로 제한하여 사용자가 직접 액세스하지 않고 이를 CloudFront 통해서만 액세스할 수 있도록 할 수 있습니다. 서명된 URL을 사용하기 위해 꼭 필요한 단계는 아니지만 이렇게 하는 것이 좋습니다.

사용자가 콘텐츠를 통해 CloudFront 액세스하도록 하려면 CloudFront 배포판에서 다음 설정을 변경하십시오.

오리진 사용자 지정 헤더

오리진에 사용자 지정 헤더를 CloudFront 전달하도록 구성하십시오. 오리진 요청에 커스텀 헤더를 CloudFront 추가하도록 구성 섹션을 참조하십시오.

Viewer Protocol Policy

최종 사용자가 HTTPS를 사용하여 CloudFront에 액세스하도록 배포를 구성합니다. 뷰어 프로토콜 정책 섹션을 참조하십시오.

오리진 프로토콜 정책

요청을 오리진에 전달할 CloudFront 때 최종 사용자와 동일한 프로토콜을 사용하도록 배포를 구성하십시오. 프로토콜(사용자 지정 오리진만 해당) 섹션을 참조하십시오.

이렇게 변경한 후에는 전송하도록 CloudFront 구성한 사용자 지정 헤더가 포함된 요청만 수락하도록 사용자 지정 오리진에서 애플리케이션을 업데이트하세요.

최종 사용자 프로토콜 정책(Viewer Protocol Policy)과 오리진 프로토콜 정책(Origin Protocol Policy)의 조합을 통해 사용자 지정 헤더가 전송 중에 암호화되도록 합니다. 하지만 주기적으로 다음 작업을 수행하여 오리진에 CloudFront 전달되는 사용자 지정 헤더를 교체하는 것이 좋습니다.

  1. CloudFront 배포를 업데이트하여 새 헤더를 사용자 지정 오리진에 전달하기 시작하세요.

  2. 요청의 출처가 확인되면 새 헤더를 수락하도록 애플리케이션을 업데이트하십시오. CloudFront

  3. 교체하려는 헤더가 요청에 더 이상 포함되지 않는 경우, 요청의 출처를 확인하기 위해 이전 헤더를 더 이상 수락하지 않도록 애플리케이션을 업데이트하세요 CloudFront.