限制對來源的訪問 MediaStore - Amazon CloudFront
建立新的原始存取控制原始存取控制的進階設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

限制對來源的訪問 MediaStore

CloudFront 提供原始存取控制 (OAC) 來限制對來源的存取AWS Elemental MediaStore。

建立新的原始存取控制

完成下列主題中描述的步驟,以在中設定新的來源存取控制 CloudFront。

必要條件

在建立和設定原始存取控制之前,您必須擁有具有 MediaStore 來源的 CloudFront 分佈。

授予原始訪問控制訪問 MediaStore 來源的權限

在您建立原始存取控制或在 CloudFront發行版中進行設定之前,請確定 OAC 具有存取來 MediaStore 源的權限。在建立 CloudFront 發行版之後,但在將 OAC 新增至散發組態中的 MediaStore原點之前,請執行此動作。

若要授與 OAC 存取來 MediaStore 源的權限,請使用 MediaStore 容器原則允許 CloudFront 服務主體 (cloudfront.amazonaws.com) 存取來源。使用原則中的Condition元素,只有在要求代表包含 MediaStore 原始位置的 CloudFront 發佈時,才允許 CloudFront 存取 MediaStore 容器。

以下是允許 CloudFront OAC 存取來源的 MediaStore 容器 MediaStore 原則範例。

範例 MediaStore 允許 CloudFront OAC 唯讀存取的容器原則
{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowCloudFrontServicePrincipalReadOnly",
                "Effect": "Allow",
                "Principal": {
                  "Service": "cloudfront.amazonaws.com"
                },
                "Action": [ 
                  "mediastore:GetObject"
                ],
                "Resource": "arn:aws:mediastore:<region>:<AWS 帳戶 ID>:container/<container name>/*",
                "Condition": {
                    "StringEquals": {
                      "AWS:SourceArn": "arn:aws:cloudfront::<AWS 帳戶 ID>:distribution/<CloudFront distribution ID>"
                    },
                    "Bool": {
                      "aws:SecureTransport": "true"
                    }
                }
            }
        ]
}
範例 MediaStore 允許 CloudFront OAC 讀取和寫入存取權的容器原則
{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowCloudFrontServicePrincipalReadWrite",
                "Effect": "Allow",
                "Principal": {
                  "Service": "cloudfront.amazonaws.com"
                },
                "Action": [ 
                  "mediastore:GetObject",
                  "mediastore:PutObject"
                ],
                "Resource": "arn:aws:mediastore:<region>:<AWS 帳戶 ID>:container/<container name>/*",
                "Condition": {
                    "StringEquals": {
                      "AWS:SourceArn": "arn:aws:cloudfront::<AWS 帳戶 ID>:distribution/<CloudFront distribution ID>"
                    },
                    "Bool": {
                      "aws:SecureTransport": "true"
                    }
                }
            }
        ]
}
注意

若要允許寫入存取權,您必須設定允許的 HTTP 方法,以包含PUT在 CloudFront發行版的行為設定中。

建立原始存取控制

若要建立 OAC,您可以使用AWS Management ConsoleAWS CloudFormation、AWS CLI、或 CloudFront API。

Console
如要建立原始存取控制

  1. 登入AWS Management Console並開啟 CloudFront 主控台,位於https://console.aws.amazon.com/cloudfront/v4/home

  2. 於左側導覽窗格中,選擇 Origin access (原始存取)。

  3. 選擇 Create control setting (建立控制設定)。

  4. Create control setting (建立控制設定) 表單上,執行下列動作:

    1. Details (詳細資訊) 窗格中,輸入 Name (名稱) 和 (選用) Description (描述),以用於原始存取控制。

    2. Settings (設定) 窗格中,建議您保留預設設定 (Sign requests (recommended)) (簽署請求 (建議使用))。如需詳細資訊,請參閱 原始存取控制的進階設定

  5. MediaStore 從「原點類型」下拉清單中選擇。

  6. 選擇建立

    建立 OAC 之後,請記下 Name (名稱)。您需要於下列程序中進行使用。

若要將原始存取控制新增至發佈中的 MediaStore 來源

  1. 在開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home

  2. 選擇您要新增 OAC 的 MediaStore 來源的分佈,然後選擇「起源」索引標籤。

  3. 選取您要新增 OAC 的 MediaStore 原點,然後選擇 [編輯]。

  4. 在原始伺服器的Protocol (通訊協定) 選取 HTTPS only (僅限 HTTPS)。

  5. Origin access control (原始存取控制) 下拉式功能表中,選擇您想要使用的 OAC。

  6. 選擇儲存變更

發行版會開始部署到所有邊 CloudFront 緣位置。當節點接收到新設定時,會簽署傳送至 MediaStore儲存貯體原點的所有要求。

CloudFormation

如要使用 AWS CloudFormation 建立原始存取控制 (OAC),請使用 AWS::CloudFront::OriginAccessControl 資源類型。下列範例顯示用於建立原始存取控制的 AWS CloudFormation 範本語法 (YAML 格式)。

Type: AWS::CloudFront::OriginAccessControl
Properties: 
  OriginAccessControlConfig: 
      Description: An optional description for the origin access control
      Name: ExampleOAC
      OriginAccessControlOriginType: mediastore
      SigningBehavior: always
      SigningProtocol: sigv4

若要取得更多資訊,請參閱AWS CloudFormation使用指南中的〈AWS::CloudFront::OriginAccess控制〉。

CLI

如要使用 AWS Command Line Interface (AWS CLI) 建立原始存取控制,請使用 aws cloudfront create-origin-access-control 命令。您可以使用輸入檔案來提供命令的輸入參數,而不必分別將每個個別參數指定為命令列輸入。

如要建立原始存取控制 (包含輸入檔案的 CLI)

  1. 使用下列命令建立名為 origin-access-control.yaml 的檔案。這個檔案中包含 create-origin-access-control 命令的所有輸入參數。

    
aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml

  2. 開啟您剛才建立的 origin-access-control.yaml 檔案。編輯檔案以新增 OAC 的名稱、說明 (選用),並將 SigningBehavior 變更為 always。接著儲存檔案。

    如需其他 OAC 設定的相關資訊,請參閱 原始存取控制的進階設定

  3. 使用下列命令,利用 origin-access-control.yaml 檔案中的輸入參數建立原始存取控制。

    
aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml

    記下命令輸出中的 Id 值,您需要將 OAC 新增至 CloudFront 發行版中的 MediaStore 原點。

將 OAC 附加到現有發行版中的 MediaStore 原點 (包含輸入檔的 CLI)

  1. 使用下列命令來儲存您要新增 OAC 的 CloudFront發佈組態。分佈必須具有 MediaStore 來源。

    
aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml

  2. 開啟您剛才建立且命名為 dist-config.yaml 的檔案。編輯檔案,進行下列變更:

    • Origins 物件中,將 OAC 的 ID 新增至名為 OriginAccessControlId 的欄位。

    • 從名為 OriginAccessIdentity 的欄位中移除值(如果存在)。

    • ETag 欄位重新命名為 IfMatch,但不要變更欄位的值。

    完成後儲存檔案。

  3. 使用下列命令來更新分佈,以使用原始存取控制。

    
aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml

發行版會開始部署到所有邊 CloudFront 緣位置。當節點接收到新組態時,它會簽署傳送至 MediaStore原點的所有要求。

API

若要使用 CloudFront API 建立原始存取控制,請使用 CreateOriginAccessControl. 如需有關您在此 API 呼叫中指定欄位的詳細資訊,請參閱「AWS SDK 或其他 API 用戶端的 API 參考文件」。

建立原始存取控制之後,您可以使用下列其中一個 API 呼叫將其附加至發佈中的 MediaStore 來源:

對於這兩個 API 呼叫,請於原始伺服器內部的 OriginAccessControlId 欄位中提供原始存取控制 ID。如需您在這些 API 呼叫中指定其他欄位的詳細資訊,請參閱 您在建立或更新分佈時指定的值 和 AWS 開發套件或其他 API 用戶端的 API 參考說明文件。

原始存取控制的進階設定

CloudFront 原始存取控制功能包含僅適用於特定使用案例的進階設定。除非您對進階設定有特定需求,否則請使用建議的設定。

原始存取控制包含名為的設定Signing behavior (簽署行為)(於主控台中),或 SigningBehavior (於 API、CLI,和 AWS CloudFormation 中)。此設定提供下列選項:

永遠簽署原始請求 (建議設定)

我們建議使用此設定,於主控台中名為Sign requests (recommended) (簽署請求 (建議使用)),或於 API、CLI 和 AWS CloudFormation 中的 always。使用此設定 CloudFront時,永遠會簽署傳送至 MediaStore 原始伺服器的所有要求。

絕不簽署原始伺服器請求

此設定於主控台中命名為 Do not sign requests (請勿簽署請求),或 API、CLI 和 AWS CloudFormation 中的 never。使用此設定,關閉使用此原始存取控制之所有分佈中的所有原始伺服器的原始存取控制。與從所有使用其原始伺服器和分佈中逐一移除原始存取控制相比,此可節省時間和精力。使用此設定時, CloudFront 不會簽署傳送至 MediaStore 原始伺服器的任何要求。

警告

若要使用此設定, MediaStore 原點必須可公開存取。如果您將此設定與不可公開存取的 MediaStore 來源搭配使用,則 CloudFront無法存取原點。 MediaStore 原點會傳回錯誤, CloudFront並將這些錯誤傳 CloudFront 遞給檢視者。如需詳細資訊,請參閱透過 HTTPS 進行公用讀取存取權的範例 MediaStore 容器原則。

請勿覆寫檢視器 (用戶端) Authorization 標題

此設定於主控台中命名為 Do not override authorization header (請勿覆寫授權標頭),或於 API、CLI 和 AWS CloudFormation 中的 no-override。如果您只想在對應的檢視器 CloudFront 要求不包含Authorization標頭時簽署原始請求,請使用此設定。使用此設定時,會在檢視器要求存在時 CloudFront 傳遞來自檢視器要求的Authorization標頭,但是當檢視器要求未包含Authorization標頭時,會簽署原始要求 (新增其自己的Authorization標頭)。

警告

若要從檢視器要求傳遞Authorization標頭,您必須針對使用與此原始存取控制相關聯的來 MediaStore 源的所有快取行為,將Authorization標頭新增至快取原