Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Beschränken des Zugriffs auf Dateien
<a name="private-content-overview"></a>

Sie können den Benutzerzugriff auf Ihre privaten Inhalte auf zwei Arten steuern:
+ [Beschränken Sie den Zugriff auf Dateien in CloudFront Caches](#private-content-overview-edge-caches).
+ Beschränken Sie den Zugriff auf Dateien auf Ihrem Ursprungsserver, indem Sie einen der folgenden Schritte ausführen:
  + [Richten Sie eine Ursprungszugriffssteuerung (OAC) für Ihren Amazon-S3-Bucket ein](private-content-restricting-access-to-s3.md).
  + [Konfigurieren Sie benutzerdefinierte Header für einen privaten HTTP-Server (ein benutzerdefinierter Ursprung)](#forward-custom-headers-restrict-access).

## Beschränken Sie den Zugriff auf Dateien in Caches CloudFront
<a name="private-content-overview-edge-caches"></a>

Sie können so konfigurieren CloudFront , dass Benutzer entweder über *signierte URLs oder signierte* *Cookies* auf Ihre Dateien zugreifen müssen. Anschließend entwickeln Sie Ihre Anwendung entweder so, dass signierte URLs erstellt und an authentifizierte Benutzer verteilt werden, oder so, dass `Set-Cookie`-Header gesendet werden, die signierte Cookies für authentifizierte Benutzer setzen. (Wenn Sie einigen Benutzern langfristigen Zugriff auf eine geringe Anzahl von Dateien gewähren möchten, können Sie auch manuell signierte URLs erstellen.) 

Wenn Sie signierte URLs oder signierte Cookies erstellen, um den Zugriff auf Ihre Dateien zu kontrollieren, können Sie die folgenden Einschränkungen angeben:
+ Ein Enddatum und eine Endzeit, nach welchen die URL nicht mehr gültig ist. 
+ (Optional) Das Datum und die Zeit, an welchen die URL gültig wird.
+ (Optional) Die IP-Adresse oder der IP-Adressbereich der Computer, die für den Zugriff auf Ihre Inhalte verwendet werden können. 

Ein Teil einer signierten URL oder eines signierten Cookies wird gehasht und mit dem privaten Schlüssel von einem Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel signiert. Wenn jemand eine signierte URL oder ein signiertes Cookie verwendet, um auf eine Datei zuzugreifen, werden die signierten und unsignierten Teile der URL oder des Cookies CloudFront verglichen. Wenn sie nicht übereinstimmen, wird die Datei CloudFront nicht bereitgestellt.

Sie müssen entweder private RSA-2048- oder ECDSA-256-Schlüssel für das Signieren von URLs oder Cookies verwenden.

## Beschränken des Zugriffs auf Dateien in Amazon-S3-Buckets
<a name="private-content-overview-s3"></a>

Sie können den Inhalt in Ihrem Amazon S3 S3-Bucket optional sichern, sodass Benutzer über die angegebene CloudFront Distribution darauf zugreifen können, aber nicht direkt über Amazon S3 S3-URLs darauf zugreifen können. Dadurch wird verhindert, dass jemand die Amazon S3 S3-URL umgeht CloudFront und verwendet, um Inhalte abzurufen, auf die Sie den Zugriff einschränken möchten. Dieser Schritt ist für die Verwendung signierter URLs nicht notwendig, wird jedoch empfohlen.

Um zu verlangen, dass Benutzer über CloudFront URLs auf Ihre Inhalte zugreifen, gehen Sie wie folgt vor:
+ Erteilen Sie einer CloudFront *Origin-Zugriffskontrolle* die Berechtigung, die Dateien im S3-Bucket zu lesen.
+ Erstellen Sie die Origin-Zugriffskontrolle und verknüpfen Sie sie mit Ihrer CloudFront Distribution.
+ Entfernen Sie die Berechtigung, Amazon S3-URLs zum Lesen der Dateien zu verwenden, für alle anderen Benutzer.

Weitere Informationen finden Sie unter [Beschränken des Zugriffs auf einen Amazon-S3-Ursprung](private-content-restricting-access-to-s3.md).

## Beschränken des Zugriffs auf Dateien auf benutzerdefinierten Ursprungsservern
<a name="forward-custom-headers-restrict-access"></a>

Wenn Sie einen benutzerdefinierten Ursprungsserver verwenden, können Sie optional benutzerdefinierte Header einrichten, um den Zugriff einzuschränken. CloudFront Damit Ihre Dateien von einem benutzerdefinierten Ursprung abgerufen werden können, müssen die Dateien über eine CloudFront standardmäßige HTTP- (oder HTTPS-) Anfrage zugänglich sein. Durch die Verwendung benutzerdefinierter Header können Sie den Zugriff auf Ihre Inhalte jedoch weiter einschränken, sodass Benutzer nur überCloudFront, nicht direkt darauf zugreifen können. Dieser Schritt ist für die Verwendung signierter URLs nicht notwendig, wird jedoch empfohlen.

Um zu verlangen, dass Benutzer über auf Inhalte zugreifen CloudFront, ändern Sie die folgenden Einstellungen in Ihren CloudFront Distributionen:

**Angepasste Ursprungs-Header**  
Konfigurieren Sie CloudFront es so, dass benutzerdefinierte Header an Ihren Ursprung weitergeleitet werden. Siehe [Konfiguriere CloudFront es so, dass benutzerdefinierte Header zu ursprünglichen Anfragen hinzugefügt werden](add-origin-custom-headers.md#add-origin-custom-headers-configure).

**Viewer-Protokollrichtlinien**  
Konfigurieren Sie Ihre Verteilung so, dass Betrachter für den Zugriff auf Ihre CloudFront HTTPS verwenden müssen. Siehe [Viewer-Protokollrichtlinien](DownloadDistValuesCacheBehavior.md#DownloadDistValuesViewerProtocolPolicy). 

**Ursprungsprotokollrichtlinien**  
Konfigurieren Sie Ihre Distribution so, dass CloudFront sie dasselbe Protokoll wie die Zuschauer verwenden muss, um Anfragen an den Ursprung weiterzuleiten. Siehe [Protokoll (nur benutzerdefinierte Ursprünge)](DownloadDistValuesOrigin.md#DownloadDistValuesOriginProtocolPolicy). 

Nachdem Sie diese Änderungen vorgenommen haben, aktualisieren Sie Ihre Anwendung auf Ihrem benutzerdefinierten Ursprung, sodass nur Anfragen akzeptiert werden, die die benutzerdefinierten Header enthalten, die Sie für das Senden konfiguriert CloudFront haben.

Die Kombination aus **Viewer Protocol Policy (Viewer-Protokollrichtlinie)** und **Origin Protocol Policy (Ursprungs-Protokollrichtlinie)** stellt sicher, dass die benutzerdefinierten Header während der Übertragung verschlüsselt werden. Wir empfehlen Ihnen jedoch, regelmäßig wie folgt vorzugehen, um die benutzerdefinierten Header, die an Ihren Ursprung CloudFront weitergeleitet werden, zu rotieren:

1. Aktualisieren Sie Ihre CloudFront Distribution, um damit zu beginnen, einen neuen Header an Ihren benutzerdefinierten Absender weiterzuleiten.

1. Aktualisieren Sie Ihre Anwendung so, dass sie den neuen Header als Bestätigung dafür akzeptiert, dass die Anfrage stammt CloudFront.

1. Wenn Anfragen den Header, den Sie ersetzen, nicht mehr enthalten, aktualisieren Sie Ihre Anwendung so, dass der alte Header nicht mehr als Bestätigung dafür akzeptiert wird, dass die Anfrage stammt CloudFront.