fbpx

Amazon CloudFront Security

cloudfrontsec
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

O Amazon CloudFront oferece aos clientes uma maneira fácil de distribuir conteúdo para usuários finais com baixa latência e altas velocidades de transferência de dados. Ele fornece conteúdo dinâmico, estático e de streaming usando uma rede global de locais de borda.

As solicitações de objetos dos clientes são roteadas automaticamente para o local da borda mais próximo, para que o conteúdo seja entregue com o melhor desempenho possível.

O Amazon CloudFront é otimizado para trabalhar com outros serviços da AWS, como Amazon S3, Amazon EC2, Elastic Load Balancing e Amazon Route 53. Ele também funciona perfeitamente com qualquer servidor de origem que não seja da AWS que armazene as versões definitivas originais de seus arquivos.

O Amazon CloudFront exige que todas as solicitações feitas à sua API de controle sejam autenticadas, para que apenas usuários autorizados possam criar, modificar ou excluir suas próprias distribuições do Amazon CloudFront. As solicitações são assinadas com uma assinatura HMAC-SHA-1 calculada a partir da solicitação e da chave privada do usuário.

Além disso, a API de controle Amazon CloudFront é acessível apenas por endpoint habilitados para SSL.

Não há garantia de durabilidade dos dados mantidos nos locais de borda do Amazon CloudFront. Às vezes, o serviço pode remover objetos de locais de borda se esses objetos não forem solicitados com frequência. A durabilidade é fornecida pelo Amazon S3, que funciona como servidor de origem do Amazon CloudFront, mantendo as cópias definitivas originais dos objetos entregues pelo Amazon CloudFront.

Se você deseja controlar quem pode baixar o conteúdo do Amazon CloudFront, pode ativar o recurso de conteúdo privado do serviço. Esse recurso tem dois componentes.

A primeira controla como o conteúdo é entregue a partir da localização de borda do Amazon CloudFront para os espectadores na Internet. O segundo controla como os locais de borda do Amazon CloudFront acessam objetos no Amazon S3. O Amazon CloudFront também oferece suporte à restrição geográfica, que restringe o acesso ao seu conteúdo com base na localização geográfica dos seus visualizadores.

Para controlar o acesso às cópias originais de seus objetos no Amazon S3, o Amazon CloudFront permite criar uma ou mais identidades de acesso à origem e associá-las às suas distribuições. Quando uma identidade de acesso de origem é associada a uma distribuição do Amazon CloudFront, a distribuição usa essa identidade para recuperar objetos do Amazon S3.

Você pode usar o recurso ACL do Amazon S3, que limita o acesso a essa identidade de acesso de origem para que a cópia original do objeto não seja legível publicamente.

Para controlar quem pode baixar objetos de locais de borda do Amazon CloudFront, o serviço usa um sistema de verificação de URL assinado. Para usar esse sistema, primeiro crie um par de chaves público-privado e faça o upload da chave pública em sua conta pelo AWS Management Console.

Em seguida, você configura sua distribuição do Amazon CloudFront para indicar quais contas você autorizaria a assinar solicitações – você pode indicar até cinco contas da AWS nas quais confia para assinar solicitações. Ao receber solicitações, você criará documentos de política indicando as condições sob as quais deseja que o Amazon CloudFront sirva seu conteúdo.

Esses documentos de política podem especificar o nome do objeto solicitado, a data e a hora da solicitação e o IP de origem (ou intervalo CIDR) do cliente que está fazendo a solicitação. Você então calcula o hash SHA-1 do seu documento de política e assina isso usando sua chave privada.

Por fim, você inclui o documento de política codificado e a assinatura como parâmetros da sequência de consulta ao fazer referência a seus objetos. Quando o Amazon CloudFront recebe uma solicitação, ele decodifica a assinatura usando sua chave pública. O Amazon CloudFront atenderá apenas solicitações que tenham um documento de política válido e assinatura correspondente.

Observe que o conteúdo privado é um recurso opcional que deve ser ativado quando você configura sua distribuição do Amazon CloudFront. O conteúdo entregue sem esse recurso ativado será publicamente legível.

O Amazon CloudFront oferece a opção de transferir conteúdo por uma conexão criptografada (HTTPS). Por padrão, o Amazon CloudFront aceita solicitações nos protocolos HTTP e HTTPS. No entanto, você também pode configurar o Amazon CloudFront para exigir HTTPS para todas as solicitações ou fazer com que o Amazon CloudFront redirecione solicitações HTTP para HTTPS.

Você pode até configurar distribuições do Amazon CloudFront para permitir HTTP para alguns objetos, mas exigir HTTPS para outros objetos.

Comentários do Facebook

Conteúdos relacionados