Obsługuj chronione zasoby za pośrednictwem CDN

Question

Chcemy wyświetlać wiele plików wideo z kilku dostępnych regionów AWS. Docelowi odbiorcy pochodzą z wielu lokalizacji na całym świecie. Szybkość połączenia nie jest gwarantowana. Dlatego CDN (najlepiej CloudFront) jest absolutnie wymagany.

Filmy wideo muszą być chronione, więc można odtwarzać je tylko wtedy, gdy użytkownik jest uwierzytelniony i ma uprawnienia do oglądania tych filmów. Oczywiście logika tego, kto może zobaczyć, co i kiedy jest częścią aplikacji. Przesyłanie strumieniowe filmów z miejsca pochodzenia byłoby niedopuszczalnie powolne. Nie jest też możliwe publiczne udostępnianie filmów i zapisywanie w pamięci podręcznej.

Jak ludzie rozwiązują tego rodzaju problemy?

Answer 1

Amazon CloudFront oferuje również Serving Private Content through CloudFront celu rozwiązania sprawy zastosowanie:

wiele firm, które dystrybuują treści za pośrednictwem Internetu chcą ograniczyć dostęp do dokumentów, danych biznesowych, strumieni multimedialnych, lub treści , który jest przeznaczony dla wybranych użytkownicy, na przykład użytkownicy, którzy zapłacili za opłatą. Aby bezpiecznie obsługiwać ten prywatny zawartość za pomocą CloudFront, ty może:

• wymaga, aby użytkownicy używają specjalnego CloudFront podpisane URL dostęp do treści, a nie standardowe publiczne adresy CloudFront.

• Wymagaj dostępu użytkowników do zawartości Amazon S3 przy użyciu adresów URL CloudFront, a nie adresów URL Amazon S3.

To do aplikacji do generowania i rozpowszechniania wymagana Signed URLs jednak, biorąc pod uwagę logika, którzy mogą zobaczyć, co i kiedy jest częścią logiki aplikacji wydają się być dobrze przygotowany dla tej części.

Należy pamiętać, że należy zapewnić Using an Origin Access Identity to Restrict Access to Your Amazon S3 Content, aby użytkownicy nie mogli przeciekać/odgadnąć adresów URL S3 i musieli przejść przez usługę CloudFront.

Jeśli chcesz użyć CloudFront podpisane URL w celu zapewnienia dostępu do obiektów w wiadrze Amazon S3 pewnie też chcą uniemożliwić użytkownikom dostęp do obiektów Amazon S3 przy użyciu adresów Amazon S3. Jeśli użytkownicy uzyskują dostęp do obiektów bezpośrednio w usłudze Amazon S3, pomijają elementy sterujące udostępniane przez adresy podpisane chmurą CloudFront, w tym kontrolę nad terminem wygaśnięcia adresu URL i kontrolę nad tym, które adresy IP można wykorzystać do uzyskania dostępu do obiektów. [...]

Ograniczasz dostęp do treści Amazon S3 poprzez utworzenie tożsamości dostępu do źródła, która jest specjalnym użytkownikiem CloudFront. Zmieniasz uprawnienia w usłudze Amazon S3, aby nadać uprawnienia dostępu do źródła pochodzenia, aby uzyskać dostęp do swoich obiektów i aby usunąć uprawnienia wszystkich pozostałych. [...]

[podkr]