View a markdown version of this page

Batasi akses ke file - Amazon CloudFront
Batasi akses ke file dalam cache CloudFrontBatasi akses ke file di bucket Amazon S3Batasi akses ke file pada asal kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi akses ke file

Anda dapat mengontrol akses pengguna ke konten pribadi Anda dengan dua cara:

Batasi akses ke file dalam cache CloudFront

Anda dapat mengonfigurasi CloudFront agar pengguna mengakses file Anda menggunakan URL yang ditandatangani atau cookie yang ditandatangani. Kemudian, Anda mengembangkan aplikasi Anda untuk membuat dan mendistribusikan untuk pengguna terotentikasi atau untuk mengirim header Set-Cookie yang menetapkan cookie yang ditandatangani untuk pengguna yang diautentikasi. (Untuk memberi beberapa pengguna akses jangka panjang ke sejumlah kecil file, Anda juga dapat membuat URL secara manual.)

Saat Anda membuat URL atau cookie yang ditandatangani untuk mengendalikan akses ke file Anda, Anda dapat menentukan batasan berikut:

  • Tanggal dan waktu akhir, yang setelahnya URL tidak lagi valid.

  • (Opsional) Tanggal dan waktu URL menjadi valid.

  • (Opsional) Alamat IP atau berbagai alamat komputer yang dapat digunakan untuk mengakses konten Anda.

Salah satu bagian dari URL yang ditandatangani atau cookie yang ditandatangani di- hash dan ditandatangani menggunakan kunci pribadi dari pasangan kunci publik–swasta. Ketika seseorang menggunakan URL yang ditandatangani atau cookie yang ditandatangani untuk mengakses file, CloudFront bandingkan bagian URL atau cookie yang ditandatangani dan tidak ditandatangani. Jika mereka tidak cocok, CloudFront tidak melayani file.

Anda harus menggunakan kunci pribadi RSA 2048 atau ECDSA 256 untuk menandatangani URL atau cookie.

Batasi akses ke file di bucket Amazon S3

Anda dapat mengamankan konten secara opsional di bucket Amazon S3 Anda sehingga pengguna dapat mengaksesnya melalui distribusi yang CloudFront ditentukan tetapi tidak dapat mengaksesnya secara langsung dengan menggunakan URL Amazon S3. Ini mencegah seseorang melewati CloudFront dan menggunakan URL Amazon S3 untuk mendapatkan konten yang ingin Anda batasi aksesnya. Langkah ini tidak diwajibkan untuk menggunakan URL yang ditandatangani, tetapi kami merekomendasikannya.

Untuk mengharuskan pengguna mengakses konten Anda melalui CloudFront URL, Anda melakukan tugas-tugas berikut:

  • Berikan izin kontrol akses CloudFront asal untuk membaca file di bucket S3.

  • Buat kontrol akses asal dan kaitkan dengan CloudFront distribusi Anda.

  • Hapus izin orang lain untuk menggunakan URL Amazon S3 untuk membaca file.

Untuk informasi selengkapnya, lihat Batasi akses ke asal Amazon S3.

Batasi akses ke file pada asal kustom

Jika Anda menggunakan asal kustom, Anda dapat secara opsional mengatur header khusus untuk membatasi akses. CloudFront Untuk mendapatkan file Anda dari asal kustom, file harus dapat diakses dengan CloudFront menggunakan permintaan HTTP (atau HTTPS) standar. Tetapi dengan menggunakan header khusus, Anda dapat lebih membatasi akses ke konten Anda sehingga pengguna dapat mengaksesnya hanya melaluiCloudFront, tidak secara langsung. Langkah ini tidak diwajibkan untuk menggunakan URL yang ditandatangani, tetapi kami merekomendasikannya.

Untuk mengharuskan pengguna mengakses konten CloudFront, ubah pengaturan berikut di CloudFront distribusi Anda:

Header Kustom Asal

Konfigurasikan CloudFront untuk meneruskan header khusus ke asal Anda. Lihat Konfigurasikan CloudFront untuk menambahkan header khusus ke permintaan asal.

Kebijakan Protokol Penampil

Konfigurasikan distribusi Anda agar pemirsa menggunakan HTTPS untuk mengakses CloudFront. Lihat Kebijakan protokol penampil.

Kebijakan Protokol Asal

Konfigurasikan distribusi Anda CloudFront agar perlu menggunakan protokol yang sama dengan pemirsa untuk meneruskan permintaan ke asal. Lihat Protokol (hanya asal kustom).

Setelah Anda membuat perubahan ini, perbarui aplikasi Anda di asal kustom Anda untuk hanya menerima permintaan yang menyertakan header khusus yang telah Anda konfigurasi CloudFront untuk dikirim.

Kombinasi dari Kebijakan Protokol Penampil dan Kebijakan Protokol Asal memastikan bahwa header kustom dienkripsi saat transit. Namun, kami menyarankan Anda melakukan hal berikut secara berkala untuk memutar header khusus yang CloudFront diteruskan ke asal Anda:

  1. Perbarui CloudFront distribusi Anda untuk mulai meneruskan header baru ke asal kustom Anda.

  2. Perbarui aplikasi Anda untuk menerima header baru sebagai konfirmasi bahwa permintaan tersebut berasal CloudFront.

  3. Ketika permintaan tidak lagi menyertakan header yang Anda ganti, perbarui aplikasi Anda agar tidak lagi menerima header lama sebagai konfirmasi bahwa permintaan tersebut berasal CloudFront.