URL / cookies firmadas

La URL firmada es una URL con firma. La firma le permite verificar su credibilidad para acceder al recurso mientras url localiza el recurso. Las URL firmadas se utilizan para entregar contenido privado de forma segura.

AWS utiliza URL / cookies firmadas para restringir el acceso al contenido en las ubicaciones frontales de la nube y permitir que solo los grupos autorizados de cuentas tengan acceso seguro al contenido. Con una URL firmada, un usuario obtiene acceso solo a un único archivo, mientras que con una cookie firmada, un usuario puede acceder a varios archivos. Para la firma de URL / Cookies se utiliza el algoritmo RSA-SHA1.

Primero especificamos firmantes confiables que tendrán permisos para generar URL / cookies firmadas y agregarlas a la distribución.

Luego especificamos las restricciones usando una política. Dependiendo del alcance de las restricciones que necesitemos especificar, podemos elegir una política predefinida o una política personalizada. Con una póliza enlatada, solo podemos especificar la fecha y hora de vencimiento. Si necesitamos especificar un conjunto de restricciones más complejo, podríamos usar una política personalizada. Con una política personalizada, podemos especificar el período de tiempo válido, incluida la fecha / hora de inicio y la fecha / hora de finalización, y la dirección IP o el rango de direcciones IP permitidas. Además, las políticas personalizadas incluyen una versión codificada en base64 de la política, y el uso de caracteres comodín en los parámetros de recursos, las políticas personalizadas se pueden reutilizar a diferencia de las políticas predefinidas.

URL firmadas

Cuando un usuario solicita contenido, la aplicación verifica al usuario y le devuelve una URL firmada a través de la cual puede acceder al contenido. Cuando un usuario solicita acceso a un recurso y CloudFront valida la URL firmada comparando la firma con la declaración de política y permite el acceso solo si la URL es válida.

¿Qué pasa si un usuario solicita un archivo grande justo antes del vencimiento?

Si no se produce una interrupción de la conexión en el momento de la descarga, el contenido se descargará correctamente.

¿Qué sucede si un usuario comienza a transmitir un archivo de video justo antes de su vencimiento?

El frente de la nube les permitirá continuar la transmisión a menos que se active otro evento de reproducción, como saltar o pausar, después del tiempo de vencimiento.

Cookies firmadas

Una cookie firmada es un dato que incluye una firma que se recibe de un servidor y se almacena en la computadora por el navegador. A diferencia de las URL firmadas, las cookies firmadas se pueden utilizar para acceder a varios archivos utilizando la misma URL. Las cookies firmadas no se pueden utilizar en la distribución RTMP.

La aplicación decide a quién dar acceso a los recursos. La aplicación devuelve 3 encabezados http set-cookie, cada uno incluye tres pares de nombre-valor para el espectador y se almacenan en la máquina cliente por el navegador. Cuando un usuario solicita un archivo con una cookie firmada, CloudFront valida la firma usando la clave pública y verifica si la solicitud es válida usando la declaración de política y devuelve el contenido al espectador.

URL predefinidas

Las URL pre firmadas se utilizan cuando necesitamos dar acceso a un objeto en s3 a un usuario sin credenciales de seguridad de AWS, ya que solo los propietarios de objetos tienen acceso a los recursos en s3.

En tal escenario, los usuarios que ya tienen permisos / credenciales de seguridad para acceder a los objetos s3 pueden generar una firma previa para que el espectador acceda al objeto durante un período de tiempo limitado. Las URL firmadas previamente se pueden usar varias veces antes de la fecha de caducidad. El período de validez de una URL firmada previamente varía según las credenciales que se usen para generarla.

Al generar una URL firmada previamente, debemos proporcionar credenciales de seguridad, especificar un nombre de depósito, una clave de objeto, especificar el método HTTP y la fecha y hora de vencimiento.

Cualquiera con credenciales de seguridad válidas podría generar una URL firmada previamente. Pero solo se puede acceder al objeto mediante URL creadas con credenciales que hayan esperado permiso para acceder al objeto.

Cuando un usuario solicita un objeto, la aplicación llama a una función lambda para generar una URL firmada previamente. La función lambda genera una URL preestablecida a través de la API s3 y la devuelve. Se genera un hash en el s3 para la URL.

Cuando el usuario solicita el contenido utilizando la url pre-firmada se le devolverá el objeto si la firma y las condiciones son válidas.

Las URL firmadas previamente se utilizan cuando necesitamos dar acceso a un objeto en s3 de forma segura a los espectadores que no tienen credenciales de AWS.

Las URL / cookies firmadas utilizan para restringir el acceso a los archivos en las cachés de borde de la nube y s3 para usuarios y suscriptores autenticados.

Se pueden utilizar para cualquier origen de cloudFront. Para distribuciones RTMP, necesitamos usar URL firmadas. Si necesitamos acceder a varios archivos usando la misma url, necesitamos usar cookies firmadas.