Restringindo o acesso a arquivos em CloudFront caches Restringir o acesso a arquivos em buckets do Amazon S3 Restringir o acesso a arquivos em origens personalizadas

Visão geral sobre a veiculação de conteúdo privado

É possível controlar o acesso do usuário ao seu conteúdo privado de duas maneiras:

Restrinja o acesso aos arquivos em CloudFront caches.
Restrinja o acesso a arquivos na sua origem de uma das seguintes maneiras:
- Configure um controle de acesso à origem (OAC) para seu bucket do Amazon S3.
- Configurar cabeçalhos personalizados para um servidor HTTP privado (uma origem personalizada).

Restringindo o acesso a arquivos em CloudFront caches

Você pode configurar CloudFront para exigir que os usuários acessem seus arquivos usando URLs assinados ou cookies assinados. Depois, desenvolva sua aplicação para criar e distribuir signed URLs para usuários autenticados ou para enviar cabeçalhos Set-Cookie que definem signed cookies para usuários autenticados. (Para conceder a alguns usuários acesso de longo prazo a um pequeno número de arquivos, você também pode criar URLs assinados manualmente.)

Ao criar signed URLs ou cookies para controlar o acesso a seus arquivos, você pode especificar as seguintes restrições:

Uma data e hora de expiração do URL.
(Opcional) A data e a hora em que o URL se torna válido.
(Opcional) O endereço IP ou os endereços dos computadores que podem ser usados para acessar seu conteúdo.

É adicionado hash ou assinatura a parte de um signed URL ou signed cookie usando a chave privada de um par de chaves públicas/privadas. Quando alguém usa um URL assinado ou um cookie assinado para acessar um arquivo, CloudFront compara as partes assinadas e não assinadas do URL ou do cookie. Se não coincidirem, CloudFront não serve o arquivo.

Você deve usar o RSA-SHA1 para assinar URLs ou cookies. CloudFront não aceita outros algoritmos.

Restringir o acesso a arquivos em buckets do Amazon S3

Opcionalmente, você pode proteger o conteúdo em seu bucket do Amazon S3 para que os usuários possam acessá-lo por meio da distribuição CloudFront especificada, mas não possam acessá-lo diretamente usando URLs do Amazon S3. Isso impede que alguém ignore CloudFront e use a URL do Amazon S3 para obter conteúdo ao qual você deseja restringir o acesso. Essa etapa não exige o uso de signed URLs, mas recomendamos que você o faça.

Para exigir que os usuários acessem seu conteúdo por meio de CloudFront URLs, você executa as seguintes tarefas:

Dê a uma permissão de controle de acesso de CloudFront origem para ler os arquivos no bucket do S3.
Crie o controle de acesso de origem e associe-o à sua CloudFront distribuição.
Remova a permissão para usar URLs do Amazon S3 para ler os arquivos de todas as demais pessoas.

Para ter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3.

Restringir o acesso a arquivos em origens personalizadas

Se você usar uma origem personalizada, pode configurar os cabeçalhos personalizados para restringir o acesso. CloudFront Para obter seus arquivos de uma origem personalizada, os arquivos devem estar acessíveis CloudFront usando uma solicitação HTTP (ou HTTPS) padrão. Mas, ao usar cabeçalhos personalizados, você pode restringir ainda mais o acesso ao seu conteúdo para que os usuários possam acessá-lo somente por meio deleCloudFront, não diretamente. Essa etapa não exige o uso de signed URLs, mas recomendamos que você o faça.

Para exigir que os usuários acessem o conteúdo por meio de CloudFront, altere as seguintes configurações em suas CloudFront distribuições:

Cabeçalhos personalizados de origem: Configure CloudFront para encaminhar cabeçalhos personalizados para sua origem. Consulte Configurando CloudFront para adicionar cabeçalhos personalizados às solicitações de origem.
Política de protocolo do visualizador: Configure sua distribuição para exigir que os visualizadores usem HTTPS para acessar o CloudFront. Consulte Política de protocolo do visualizador.
Política de protocolo da origem: Configure sua distribuição CloudFront para exigir o uso do mesmo protocolo dos visualizadores para encaminhar solicitações para a origem. Consulte Protocolo (somente origens personalizadas).

Depois de fazer essas alterações, atualize seu aplicativo em sua origem personalizada para aceitar somente solicitações que incluam os cabeçalhos personalizados que você configurou CloudFront para enviar.

A combinação de Viewer Protocol Policy (Política de protocolo do visualizador) e Origin Protocol Policy (Política de protocolo da origem) garante que os cabeçalhos personalizados sejam criptografados em trânsito. No entanto, recomendamos que você faça o seguinte periodicamente para girar os cabeçalhos personalizados que CloudFront encaminham para sua origem:

Atualize sua CloudFront distribuição para começar a encaminhar um novo cabeçalho para sua origem personalizada.
Atualize seu aplicativo para aceitar o novo cabeçalho como confirmação da origem da solicitação CloudFront.
Quando as solicitações não incluírem mais o cabeçalho que você está substituindo, atualize seu aplicativo para não aceitar mais o cabeçalho antigo como confirmação da origem da solicitação CloudFront.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Restringir conteúdo com signed URLs e cookies

Lista de tarefas para veicular conteúdo privado