本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用自訂政策設定已簽署 Cookie
若要設定使用標準政策的已簽署 Cookie,請完成以下步驟。
使用自訂政策設定已簽章的 Cookie
-
如果您使用 .NET 或 Java 來建立已簽署的 URLs,而且尚未將金鑰對的私有金鑰從預設 .pem 格式重新格式化為與 .NET 或 Java 相容的格式,請立即執行此操作。如需詳細資訊,請參閱重新格式化私有金鑰 (僅限 NET和 Java)。
-
請編寫您的應用程式以發送三個
Set-Cookie標頭給已核准的瀏覽者。您需要三個Set-Cookie標頭,因為每個Set-Cookie標頭只能包含一個名稱值對,且 CloudFront 已簽署的 Cookie 需要三個名稱值對。名稱值組是:CloudFront-Policy、CloudFront-Signature和CloudFront-Key-Pair-Id。在使用者對要控制存取的檔案發出第一次請求之前,這些值必須出現在檢視器。注意
一般而言,建議您排除
Expires和Max-Age屬性。這會導致瀏覽器在使用者關閉瀏覽器時刪除 Cookie,從而降低有人未經授權存取您的內容的可能性。如需詳細資訊,請參閱 防止已簽章 Cookie 的濫用。Cookie 屬性的名稱區分大小寫。
只包含分行符號,以使屬性更易讀。
Set-Cookie: CloudFront-Policy=base64 encoded version of the policy statement; Domain=optional domain name; Path=/optional directory path; Secure; HttpOnly Set-Cookie: CloudFront-Signature=hashed and signed version of the policy statement; Domain=optional domain name; Path=/optional directory path; Secure; HttpOnly Set-Cookie: CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; Domain=optional domain name; Path=/optional directory path; Secure; HttpOnly- (選用)
Domain -
請求檔案的網域名稱。如果您未指定
Domain屬性,則預設值為 中的網域名稱URL,且僅適用於指定的網域名稱,而不是子網域。如果指定Domain屬性,它也適用於子網域名稱。網域名稱中的前導點 (例如Domain=.example.com) 是可選的。此外,如果您指定Domain屬性,則 中的網域名稱URL和Domain屬性的值必須相符。您可以指定 CloudFront 指派給分佈的網域名稱,例如 d111111abcdef8.cloudfront.net,但無法為網域名稱指定 *.cloudfront.net。
如果您想要在 中使用替代網域名稱,例如 example.comURLs,無論您是否指定
Domain屬性,都必須將替代網域名稱新增至您的分佈。如需詳細資訊,請參閱 分佈設定參考 主題中的 替代網域名稱 (CNAMEs)。 - (選用)
Path -
請求檔案的路徑。如果您未指定
Path屬性,則預設值為 中的路徑URL。 Secure-
在檢視器傳送請求之前,需要對 Cookie 進行加密。建議您透過HTTPS連線傳送
Set-Cookie標頭,以確保 Cookie 屬性免於 man-in-the-middle遭受攻擊。 HttpOnly-
要求檢視器僅在 HTTP或 HTTPS請求中傳送 Cookie。
CloudFront-Policy-
您的政策陳述式JSON格式,移除空白空格,然後以 base64 編碼。如需詳細資訊,請參閱為使用自訂政策的已簽章 Cookie 建立簽章。
政策陳述式可控制已簽署 Cookie 授予使用者的存取權限。它包含使用者可以存取的檔案、過期日期和時間、 URL生效的選用日期和時間,以及允許存取檔案的選用 IP 地址或 IP 地址範圍。
CloudFront-Signature-
JSON 政策陳述式的雜湊、簽章和 base64 編碼版本。如需詳細資訊,請參閱為使用自訂政策的已簽章 Cookie 建立簽章。
CloudFront-Key-Pair-Id-
CloudFront 公有金鑰的 ID,例如
K2JCJMDEHXQW5F。公有金鑰 ID 會說明 CloudFront要使用哪個公有金鑰來驗證簽署的 URL。 CloudFront 會將簽章中的資訊與政策陳述式中的資訊進行比較,以確認 URL 尚未遭到竄改。此公有金鑰必須屬於分佈中信任的簽署者金鑰群組。如需詳細資訊,請參閱指定可以建立已簽署URLs和已簽署 Cookie 的簽署者。
- (選用)
自訂政策的範例Set-Cookie標頭
請參閱下列Set-Cookie標頭對的範例。
如果您想要在 中使用替代網域名稱,例如 example.orgURLs,則無論您是否指定 Domain 屬性,都必須將替代網域名稱新增至您的分佈。如需詳細資訊,請參閱 分佈設定參考 主題中的 替代網域名稱 (CNAMEs)。
範例 1
當您使用與 檔案的 分發相關聯的網域名稱時,您可以將Set-Cookie標頭用於一個已簽署URLs的 Cookie。
Set-Cookie: CloudFront-Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cDovL2QxMTExMTFhYmNkZWY4LmNsb3VkZnJvbnQubmV0L2dhbWVfZG93bmxvYWQuemlwIiwiQ29uZGl0aW9uIjp7IklwQWRkcmVzcyI6eyJBV1M6U291cmNlSXAiOiIxOTIuMC4yLjAvMjQifSwiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE0MjY1MDAwMDB9fX1dfQ__; Domain=d111111abcdef8.cloudfront.net; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Signature=dtKhpJ3aUYxqDIwepczPiDb9NXQ_; Domain=d111111abcdef8.cloudfront.net; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=d111111abcdef8.cloudfront.net; Path=/; Secure; HttpOnly
範例 2
當您在 中使用替代網域名稱 (example.org://) 作為檔案時,您可以將Set-Cookie標頭URLs用於一個已簽署的 Cookie。
Set-Cookie: CloudFront-Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cDovL2QxMTExMTFhYmNkZWY4LmNsb3VkZnJvbnQubmV0L2dhbWVfZG93bmxvYWQuemlwIiwiQ29uZGl0aW9uIjp7IklwQWRkcmVzcyI6eyJBV1M6U291cmNlSXAiOiIxOTIuMC4yLjAvMjQifSwiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE0MjY1MDAwMDB9fX1dfQ__; Domain=example.org; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Signature=dtKhpJ3aUYxqDIwepczPiDb9NXQ_; Domain=example.org; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/; Secure; HttpOnly
範例 3
當您使用與 URLs 檔案的 分發相關聯的網域名稱時,您可以將Set-Cookie標頭對用於已簽署的請求。
Set-Cookie: CloudFront-Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cDovL2QxMTExMTFhYmNkZWY4LmNsb3VkZnJvbnQubmV0L2dhbWVfZG93bmxvYWQuemlwIiwiQ29uZGl0aW9uIjp7IklwQWRkcmVzcyI6eyJBV1M6U291cmNlSXAiOiIxOTIuMC4yLjAvMjQifSwiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE0MjY1MDAwMDB9fX1dfQ__; Domain=d111111abcdef8.cloudfront.net; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Signature=dtKhpJ3aUYxqDIwepczPiDb9NXQ_; Domain=d111111abcdef8.cloudfront.net; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=dd111111abcdef8.cloudfront.net; Path=/; Secure; HttpOnly
範例 4
當您使用與 URLs 檔案中的分佈相關聯的替代網域名稱 (example.org) 時,您可以將Set-Cookie標頭對用於一個已簽署的請求。
Set-Cookie: CloudFront-Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cDovL2QxMTExMTFhYmNkZWY4LmNsb3VkZnJvbnQubmV0L2dhbWVfZG93bmxvYWQuemlwIiwiQ29uZGl0aW9uIjp7IklwQWRkcmVzcyI6eyJBV1M6U291cmNlSXAiOiIxOTIuMC4yLjAvMjQifSwiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE0MjY1MDAwMDB9fX1dfQ__; Domain=example.org; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Signature=dtKhpJ3aUYxqDIwepczPiDb9NXQ_; Domain=example.org; Path=/; Secure; HttpOnly Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/; Secure; HttpOnly
為使用自訂政策的已簽署 Cookie 建立政策陳述式
若要為自訂政策建立政策陳述式,請執行以下步驟。如需以各種方式控制對檔案存取的幾個政策聲明範例,請參閱 使用自訂政策的已簽署 Cookie 範例政策陳述式。
為使用自訂政策的簽章的 Cookie 建立政策聲明
-
使用以下JSON格式建構政策陳述式。
{ "Statement": [ { "Resource": "URL of the file", "Condition": { "DateLessThan": { "AWS:EpochTime":required ending date and time in Unix time format and UTC }, "DateGreaterThan": { "AWS:EpochTime":optional beginning date and time in Unix time format and UTC }, "IpAddress": { "AWS:SourceIp": "optional IP address" } } } ] }注意下列事項:
-
您只能包含一個聲明。
-
使用 UTF-8 字元編碼。
-
完全按照規定包含所有標點符號和參數名稱。不接受參數名稱的縮寫。
-
Condition部分的參數順序不重要。 -
如需有關
Resource、DateLessThan、DateGreaterThan和IpAddress值的詳細資訊,請參閱 您在政策陳述式中為已簽章 Cookie 的自訂政策指定的值。
-
-
從政策陳述式中移除所有空格 (包括標籤和新行字元)。您可能必須在應用程式的程式碼的字串中包含逸出字元。
-
Base64-encode來編碼政策陳述式。 MIME如需詳細資訊,請參閱 20Base64 Content-Transfer-Encoding
4,(多用途網際網路郵件延伸)第一部分:網際網路訊息機構格式。 RFC MIME -
將URL查詢字串中無效的字元取代為有效字元。下表列出無效和有效的字元。
取代這些無效的字元 有了這些有效的字元 +
- (連字號)
=
_ (底線)
/
~ (波狀符號)
-
將結果值包含在您的
Set-Cookie標頭後的CloudFront-Policy=。 -
透過進行雜湊、簽章和 base64 編碼政策聲明來為
Set-Cookie建立CloudFront-Signature標頭的簽章。如需詳細資訊,請參閱 為使用自訂政策的已簽章 Cookie 建立簽章。
您在政策陳述式中為已簽章 Cookie 的自訂政策指定的值
當您為自訂政策建立政策聲明時,您可以指定以下值。
- 資源
-
URL 包含查詢字串的基礎,如果有的話:
https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes重要
如果您省略
Resource參數,使用者可以存取與您用來建立已簽署 之金鑰對相關聯的任何分佈相關聯的所有檔案URL。您只能為
Resource指定一個值。注意下列事項:
-
通訊協定 – 此值必須以
http://或https://開頭。 -
查詢字串參數 – 如果沒有查詢字串參數,請省略問號。
-
萬用字元 – 可以使用比對零或多個字元 (*) 的萬用字元,或比對字串中任意位置單一字元 (?) 的萬用字元。例如,值為:
https://d111111abcdef8.cloudfront.net/*game_download.zip*將包括 (例如) 下列檔案:
-
https://d111111abcdef8.cloudfront.net/game_download.zip -
https://d111111abcdef8.cloudfront.net/example_game_download.zip?license=yes -
https://d111111abcdef8.cloudfront.net/test_game_download.zip?license=temp
-
-
替代網域名稱 – 如果您在 中指定替代網域名稱 (CNAME)URL,則必須在參考網頁或應用程式中的檔案時指定替代網域名稱。請勿URL為 檔案指定 Amazon S3。
-
- DateLessThan
-
以 Unix 時間格式 (以秒為單位) 和國際標準時間 () URL表示的到期日期和時間UTC。不要將值括在引號中。
例如,2015 年 3 月 16 日上午 10:00 會以 Unix 時間格式UTC轉換為 1426500000。
如需詳細資訊,請參閱當 CloudFront 檢查已簽署 Cookie 中的過期日期和時間時。
- DateGreaterThan (選用)
-
以 Unix 時間格式 (以秒為單位) 和國際標準時間 () URL表示的選用開始日期和時間UTC。不允許使用者在指定的日期和時間當天或之前存取檔案。不要將值括在引號中。
- IpAddress (選用)
-
提出GET請求之用戶端的 IP 地址。注意下列事項:
-
要允許任何 IP 位址存取該檔案,請省略
IpAddress參數。 -
您可以指定一個 IP 地址或一個 IP 地址範圍。例如,如果用戶端的 IP 位址位於兩個不同的範圍之一,則無法設定政策以允許存取。
-
若要允許從單一 IP 地址存取,您需要指定:
"IPv4 IP address/32" -
您必須以標準IPv4CIDR格式指定 IP 地址範圍 (例如
192.0.2.0/24)。如需詳細資訊,請前往 RFC 4632,無類別網域間路由 (CIDR):網際網路地址指派和彙總計劃 、https://tools.ietf.org/html/rfc4632。 重要
不支援 IPv6 2001:0db8:85a3::8a2e:0370:7334 格式的 IP 地址。
如果您使用的是包含 的自訂政策
IpAddress,請勿IPv6為分佈啟用 。如果您想要依 IP 地址限制某些內容的存取,並支援其他內容的IPv6請求,您可以建立兩個分佈。如需詳細資訊,請參閱 分佈設定參考 主題中的 啟用 IPv6。
-
使用自訂政策的已簽署 Cookie 範例政策陳述式
以下範例說明政策聲明說明了如何控制對特定檔案的存取、目錄中的所有檔案,或與金鑰對 ID 相關聯的所有檔案。此範例還會說明如何控制來自個別的 IP 地址或各種 IP 地址的存取,以及如何防止使用者在指定的日期和時間之後使用已簽章的 Cookie。
如果您複製並貼上任何這些範例,請移除任何空白空格 (包括標籤和新行字元)、將值取代為您自己的值,並在關閉支架 ( } ) 後包含新行字元。
如需詳細資訊,請參閱您在政策陳述式中為已簽章 Cookie 的自訂政策指定的值。
政策陳述式範例:從一系列 IP 地址存取一個檔案
下列已簽署 Cookie 中的範例自訂政策指定使用者可以https://d111111abcdef8.cloudfront.net/game_download.zip從 範圍內的 IP 地址存取檔案,192.0.2.0/24直到 2023 年 1 月 1 日上午 10:00UTC:
{ "Statement": [ { "Resource": "https://d111111abcdef8.cloudfront.net/game_download.zip", "Condition": { "IpAddress": { "AWS:SourceIp": "192.0.2.0/24" }, "DateLessThan": { "AWS:EpochTime": 1357034400 } } } ] }
政策陳述式範例:從一系列 IP 地址存取目錄中的所有檔案
以下範例自訂政策允許您為 training 目錄中的任何檔案建立已簽章的 Cookie,如 Resource 參數中的 * 萬用字元所示。使用者可以從 範圍內的 IP 地址存取 檔案,192.0.2.0/24直到 2013 年 1 月 1 日上午 10:00UTC:
{ "Statement": [ { "Resource": "https://d111111abcdef8.cloudfront.net/training/*", "Condition": { "IpAddress": { "AWS:SourceIp": "192.0.2.0/24" }, "DateLessThan": { "AWS:EpochTime": 1357034400 } } } ] }
您使用此政策的每個已簽章 Cookie 都包含可識別特定檔案URL的基礎,例如:
https://d111111abcdef8.cloudfront.net/training/orientation.pdf
政策陳述式範例:從一個 IP 地址存取與金鑰對 ID 相關聯的所有檔案
以下範例自訂政策允許您為與任何分佈關聯的任何檔案設定已簽章的 Cookie,如 Resource 參數中的 * 萬用字元所示。使用者必須使用 IP 地址 192.0.2.10/32。(CIDR符號192.0.2.10/32中的值是指單一 IP 地址 192.0.2.10。) 這些檔案僅供 2013 年 1 月 1 日至 2013 年 1 UTC 月 2 日上午 10:00 使用UTC:
{ "Statement": [ { "Resource": "https://*", "Condition": { "IpAddress": { "AWS:SourceIp": "192.0.2.10/32" }, "DateGreaterThan": { "AWS:EpochTime": 1357034400 }, "DateLessThan": { "AWS:EpochTime": 1357120800 } } } ] }
您使用此政策的每個已簽章 Cookie 都包含可識別特定 CloudFront 分佈中特定檔案URL的基礎,例如:
https://d111111abcdef8.cloudfront.net/training/orientation.pdf
簽章的 Cookie 也包含金鑰對 ID,該 ID 必須與您在基礎 中指定的分佈 (d111111abcdef8.cloudfront.net) 中信任的金鑰群組相關聯URL。
為使用自訂政策的已簽章 Cookie 建立簽章
使用自訂政策的已簽章的 Cookie 的簽章是政策聲明的雜湊、簽章和 base64-encoded 版本。
如需有關如何對政策聲明進行雜湊、簽章和編碼的詳細資訊和範例,請參閱:
使用自訂政策為已簽章的 Cookie 建立簽章
-
使用 SHA-1 雜湊函數 和 RSA 來雜湊和簽署您在程序 中建立JSON的政策陳述式為使用自訂政策URL的已簽署 建立政策陳述式。使用不再包含空格但尚未以 base64 編碼的政策陳述式版本。
對於雜湊函數所需的私有金鑰,使用其公有金鑰在活動的信任金鑰組中的私有金鑰進行分佈。
注意
用於雜湊和簽名政策聲明的方法取決於您的程式設計語言和平台。如需程式碼範例,請參閱 建立已簽署簽章的程式碼範例 URL。
-
從雜湊字串和簽章字串中移除空格 (包括標籤和新行字元)。
-
Base64-encode來編碼字串。 MIME如需詳細資訊,請參閱 20Base64 Content-Transfer-Encoding
4,(多用途網際網路郵件延伸)第一部分:網際網路訊息機構格式。 RFC MIME -
將URL查詢字串中無效的字元取代為有效字元。下表列出無效和有效的字元。
取代這些無效的字元 有了這些有效的字元 +
- (連字號)
=
_ (底線)
/
~ (波狀符號)
-
將結果值包含在
Set-Cookie名稱值組的CloudFront-Signature=標頭中,並返回到 使用自訂政策設定已簽章的 Cookie 為Set-Cookie新增CloudFront-Key-Pair-Id標頭。
