限制對 AWS Elemental MediaPackage v2 來源的訪問

CloudFront 提供原始存取控制 (OAC)，以限制對 MediaPackage v2 來源的存取。

注意

CloudFront OAC 僅支援 MediaPackage V2。 MediaPackage 不支援 v1。

主題

建立新的 OAC
原始存取控制的進階設定

建立新的 OAC

完成下列主題中描述的步驟，以在中 CloudFront設定新的 OAC。

主題

必要條件
授予 OAC 訪問 MediaPackage v2 原點的權限
建立 OAC

必要條件

在您建立和設定 OAC 之前，您必須具有 MediaPackage v2 原點的 CloudFront 發佈。如需詳細資訊，請參閱使用 MediaStore 容器或 MediaPackage 頻道。

授予 OAC 訪問 MediaPackage v2 原點的權限

在您建立 OAC 或在 CloudFront 發行版中進行設定之前，請確定 OAC 具有存取 MediaPackage v2 來源的權限。在建立發行版之後，但在您將 OAC 新增至 CloudFront 散發組態中的 MediaPackage v2 原點之前，請執行此動作。

若要授與 OAC 存取 MediaPackage v2 來源的權限，請使用 IAM 政策允許 CloudFront 服務主體 (cloudfront.amazonaws.com) 存取來源。只有當要求代表包含 MediaPackage v2 來源的 CloudFront 發行版時，原則中的Condition元素才允許 CloudFront 存取 MediaPackage v2 原點。

範例 : 允許對 CloudFront 分配進行唯讀存取的 IAM 政策

下列原則允許 CloudFront 散發 (E1PDK09ESKHJWT) 存取 MediaPackage v2 來源。原點是為Resource元素指定的 ARN。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {"Service": "cloudfront.amazonaws.com"},
            "Action": "mediapackagev2:GetObject",
            "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/channel-group-name/channel/channel-name/originEndpoint/origin_endpoint_name",
            "Condition": {
                "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT"}
            }
        }
    ]
}

注意

如果您建立的散佈版本不具備 MediaPackage v2 來源的權限，您可以從 CloudFront 主控台選擇 [複製原則]，然後選擇 [更新端點權限]。然後，您可以將複製的權限附加到端點。如需詳細資訊，請參閱AWS Elemental MediaPackage 使用指南中的端點策略欄位。

建立 OAC

若要建立 OAC，您可以使用 AWS Management Console AWS CloudFormation、 AWS CLI、或 CloudFront API。

Console

若要建立 OAC

登入 AWS Management Console 並開啟 CloudFront 主控台，位於https://console.aws.amazon.com/cloudfront/v4/home。
於左側導覽窗格中，選擇 Origin access (原始存取)。
選擇 Create control setting (建立控制設定)。
在 [建立新的 OAC] 表單上，執行下列動作：
1. 輸入 OAC 的「名稱」與 (選擇性)「說明」。
2. 對於簽署行為，建議您保留預設設定 (簽署要求 (建議))。如需詳細資訊，請參閱原始存取控制的進階設定。
針對「原點」類型，選擇 MediaPackage V2。
選擇建立。

提示
建立 OAC 之後，請記下 [名稱]。您需要於下列程序中進行使用。

若要將 OAC 新增至發行版中的 MediaPackage v2 原點

在開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home。
選擇您要新增 OAC 之 MediaPackage V2 來源的發佈，然後選擇「起源」頁籤。
選取您要新增 OAC 的 MediaPackage v2 原點，然後選擇編輯。
在原始伺服器的Protocol (通訊協定) 選取 HTTPS only (僅限 HTTPS)。
從 Origin 存取控制下拉式清單中，選擇您要使用的 OAC 名稱。
選擇儲存變更。

發行版會開始部署到所有邊 CloudFront 緣位置。當節點接收到新組態時，它會簽署傳送至 MediaPackage v2 原點的所有要求。

CloudFormation

若要使用建立 OAC AWS CloudFormation，請使用資AWS::CloudFront::OriginAccessControl源類型。下列範例會顯示建立 OAC 的 AWS CloudFormation 範本語法 (YAML 格式)。


Type: AWS::CloudFront::OriginAccessControl
Properties: 
  OriginAccessControlConfig: 
      Description: An optional description for the origin access control
      Name: ExampleOAC
      OriginAccessControlOriginType: mediapackagev2
      SigningBehavior: always
      SigningProtocol: sigv4

若要取得更多資訊，請參閱AWS CloudFormation 使用指南中的〈AWS::CloudFront::OriginAccess控制〉。

CLI

若要使用 AWS Command Line Interface (AWS CLI) 建立原始存取控制，請使用aws cloudfront create-origin-access-control指令。您可以使用輸入檔案來提供命令的輸入參數，而不必分別將每個個別參數指定為命令列輸入。

如要建立原始存取控制 (包含輸入檔案的 CLI)

使用下列命令建立名為 origin-access-control.yaml 的檔案。這個檔案中包含 create-origin-access-control 命令的所有輸入參數。
```
aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml
```
開啟您剛才建立的 origin-access-control.yaml 檔案。編輯檔案以新增 OAC 的名稱、說明 (選用)，並將 SigningBehavior 變更為 always。接著儲存檔案。

如需其他 OAC 設定的相關資訊，請參閱原始存取控制的進階設定。
使用下列命令，利用 origin-access-control.yaml 檔案中的輸入參數建立原始存取控制。
```
aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml
```
記下命令輸出中的 Id 值，您需要它將 OAC 添加到 CloudFront 發行版中的 MediaPackage v2 原點。

將 OAC 附加至現有發行版中的 MediaPackage v2 原點 (包含輸入檔的 CLI)

使用下列命令來儲存您要新增 OAC 的 CloudFront發佈組態。該發行版必須具有 MediaPackage v2 來源。
```
aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml
```
開啟您剛才建立且命名為 dist-config.yaml 的檔案。編輯檔案，進行下列變更：
- 於 Origins 物件中，將 OAC 的 ID 新增至名為 OriginAccessControlId 的欄位。
- 從名為 OriginAccessIdentity 的欄位中移除值(如果存在)。
- 將 ETag 欄位重新命名為 IfMatch，但不要變更欄位的值。
完成後儲存檔案。

使用下列命令來更新分佈，以使用原始存取控制。



aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml

發行版會開始部署到所有邊 CloudFront 緣位置。當節點接收到新組態時，它會簽署傳送至 MediaPackage v2 原點的所有要求。

API

若要使用 CloudFront API 建立 OAC，請使用 CreateOriginAccessControl. 如需有關您在此 API 呼叫中指定之欄位的詳細資訊，請參閱 AWS SDK 或其他 API 用戶端的 API 參考文件。

建立 OAC 之後，您可以使用下列其中一個 API 呼叫，將其附加至發行版中的 MediaPackage v2 來源：

若要將其附加至現有發行版，請使用UpdateDistribution。
要將其附加到新的發行版本，請使用CreateDistribution。

對於這兩個 API 呼叫，請在來源內的OriginAccessControlId欄位中提供 OAC ID。如需有關您在這些 API 呼叫中指定的其他欄位的詳細資訊，請參閱 AWS SDK 或其他 API 用戶端的 API 參考文件分佈設定參考和說明文件。

原始存取控制的進階設定

CloudFront OAC 功能包含僅適用於特定使用案例的進階設定。除非您對進階設定有特定需求，否則請使用建議的設定。

OAC 包含名為簽署行為 (在主控台中) 或 SigningBehavior (在 API、CLI 和 AWS CloudFormation) 的設定。此設定提供下列選項：

永遠簽署原始請求 (建議設定): 我們建議使用此設定，於主控台中名為Sign requests (recommended) (簽署請求 (建議使用))，或於 API、CLI 和 AWS CloudFormation中的 always。使用此設定 CloudFront 時，永遠會簽署傳送至 MediaPackage v2 來源的所有要求。
絕不簽署原始伺服器請求: 此設定於主控台中命名為 Do not sign requests (請勿簽署請求)，或 API、CLI 和 AWS CloudFormation中的 never。使用此設定可關閉使用此 OAC 之所有發行版中所有來源的 OAC。與從使用它的所有來源和發行版中逐個移除 OAC 相比，這可以節省時間和精力。使用此設定時， CloudFront 不會簽署傳送至 MediaPackage v2 原點的任何要求。

警告
若要使用此設定， MediaPackage v2 來源必須可公開存取。如果您將此設定與無法公開存取的 MediaPackage v2 來源搭配使用，則 CloudFront 無法存取原點。 MediaPackage v2 來源返回錯誤， CloudFront 並將這些錯誤傳 CloudFront 遞給查看者。如需詳細資訊，請參閱《AWS Elemental MediaPackage 使用者指南》中 MediaPackage的 [原則和權限] 範例 MediaPackage v2 原則。
請勿覆寫檢視器 (用戶端) Authorization 標題: 此設定於主控台中命名為 Do not override authorization header (請勿覆寫授權標頭)，或於 API、CLI 和 AWS CloudFormation中的 no-override。如果您只想在對應的檢視器 CloudFront 要求不包含Authorization標頭時簽署原始請求，請使用此設定。使用此設定時，會在檢視器要求存在時 CloudFront 傳遞來自檢視器要求的Authorization標頭，但是當檢視器要求未包含Authorization標頭時，會簽署原始要求 (新增其自己的Authorization標頭)。

警告
若要從檢視器要求傳遞Authorization標頭，您必須針對使用與此原始存取控制相關聯的 MediaPackage v2 來源的所有快取行為，將Authorization標頭新增至快取原則。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

限制對 AWS 原點的訪問

限制對 AWS Elemental MediaStore 原點的訪問