Amazon CloudFrontを利用して、プライベートコンテンツをセキュアに配信する新たな仕組みとして、CloudFront署名付き HTTPクッキーに対応しました。今までは、各オブジェクトURLに対して任意の署名を付与することで、CloudFront経由でのコンテンツへのアクセス制御を実現していました。今回の対応で、同様のアクセス制御をHTTPクッキー内に署名をつけることで実現できるようになります。これにより、URLを変更すること無く、複数のオブジェクト(例えば、サイト全体の認証)もしくは特定のオブジェクトへのアクセスを制御することが可能となります。
署名付きHTTPクッキーを利用することで、ストリーミングメディアコンテンツへのアクセス制御も簡単に実現することができます 。例えば、もしあなたのメディアコンテンツがHTTP Live Streaming(HLS)フォーマットを利用している場合、Amazon Elastic Transcoderや自身のメディアサーバを利用してPlaylistやメディアセグメントを生成することが出来ます。そして、Webアプリケーションにてユーザ認証を行った後Set-Cookieヘッダーを送信することで、認証されたユーザのデバイスに対してCookieを渡します。ユーザがアクセス制限されたコンテンツにアクセスする際には、リクエスト時にブラウザーが署名されたクッキーをフォワードすることで、CloudFrontはクッキーのAttributesを見て、HLSストリームへのアクセス可否を判定します。CloudFrontは、PlayerがPlaylistもしくは各メディアセグメントファイルをリクエストする都度に、このCookieの判定を行うことで、End-to-Endでストリームがセキュアであることを保証します。下記のダイアグラムがこのユースケースを図示したものとなります。
これは、メディア配信におけるセキュア機能としてAWSにおける成長ポートフォリオの重要な機能追加となります。ご存知の通り、今年のはじめにAmazon Elastic TranscoderはHLSのコンテンツ保護機能をリリースしました。また、AWSで実現する、セキュアなEnd-to-EndメディアソリューションやTipsに関して、録画されているre:invent Secure Media Streaming and Delivery Sessionもご覧ください。
Amazon CloudFrontでプライベートコンテンツ配信を行うための追加費用はかかりません。より詳しく知りたい方は、Amazon CloudFront Developers Guideもご確認ください。
--北迫