アクセス制限 - ApsaraVideo VOD - Alibaba Cloud ドキュメントセンター

リファラーブラックリストまたはホワイトリスト、User-Agentブラックリストまたはホワイトリスト、およびIPアドレスブラックリストまたはホワイトリストを設定して、ApsaraVideo VODのリソースへのアクセスを制御できます。このトピックでは、アクセス制限について説明します。

概要

クラウドでアクセス制御ポリシーを設定して、ビデオリソースの基本的な保護を提供できます。アクセス制御機能は使いやすく、関連する設定がすぐに有効になります。追加の開発は必要ありません。一般的なアクセス制御ポリシーは次のとおりです。

Referer: Refererブラックリストまたはホワイトリスト
User-Agent: User-Agentブラックリストまたはホワイトリスト
IPアドレス: IPアドレスブラックリストまたはホワイトリスト

説明

ApsaraVideo VODコンソールでUser-Agentブラックリストまたはホワイトリストを設定することはできません。設定が複雑で、誤操作が発生する可能性があるためです。 User-Agentブラックリストまたはホワイトリストを設定するには、チケットを起票するか、Alibaba Cloudカスタマーサービスにお問い合わせください。

リファラーブラックリストまたはホワイトリスト

概要
- リファラーは、HTTPリファラーメカニズムに基づいてリクエストのソースを追跡および識別するために使用されます。リファラーブラックリストまたはホワイトリストを設定して、ユーザーを識別およびフィルタリングできます。これにより、Apsaravideo VODリソースへのアクセスを制御できます。
- リファラーホワイトリストまたはリファラーブラックリストを設定すると、ユーザーリクエストはPOP (point of presence) に送信されます。次に、POPは、事前設定されたリファラーホワイトリストまたはブラックリストに基づいてユーザーIDを認証します。リクエストがルールを満たしている場合、ビデオデータが返されます。リクエストがルールを満たさない場合、リクエストは拒否され、HTTPステータスコード403が返されます。
- リファラーブラックリストまたはホワイトリストを設定すると、ワイルドカードドメイン名が自動的にサポートされます。たとえば、ドメイン名としてy example.comを指定すると、ワイルドカードドメイン * .example.comが有効になります。つまり、* .example.comに一致するすべてのドメイン名でリファラーブラックリストまたはホワイトリストの設定が有効になります。
- ほとんどの場合、モバイルデバイスはRefererヘッダーを提供しません。デフォルトでは、空のRefererヘッダーを持つアクセス要求が許可されます。空のRefererヘッダーを持つリクエストからのアクセスを無効にできます。
詳細については、「リファラーホワイトリストまたはブラックリストを設定してホットリンク保護を有効化する」をご参照ください。
リクエストの例
ApsaraVideo VOD t o aliyundoc.comでe example.cn-shanghai.aliyuncs.comドメイン名のリファラーホワイトリストを設定し、リファラーヘッダーが空のリクエストからのアクセスを無効にします。サンプルコード：
```
curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4'
```

サンプル応答

許可されたRefererを含む次のリクエストに対して、成功応答が返されます。

curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4' \
-H 'Referer: http://www.aliyundoc.com'

User-Agent ブラックリストまたはホワイトリスト

概要
User-Agentは特殊な文字列ヘッダーです。サーバーは、ユーザーが使用するオペレーティングシステムのタイプとバージョン、CPUタイプ、ブラウザーのタイプとバージョン、ブラウザーのレンダリングエンジン、言語、およびプラグインを識別するのに役立ちます。 User-Agentブラックリストまたはホワイトリストを設定して、特定のブラウザまたはデバイスからのアクセスを制御できます。

例：

PC上のInternet Explorer 9.0のユーザーエージェントヘッダー:
```
User-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;Trident/5.0;
```

検証のために次のHTTPリクエストをシミュレートします。

curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****.mp4' \
-H 'User-Agent: iPhone OS;MI 5'

IP アドレスのブラックリストまたはホワイトリスト

ApsaraVideo VODを使用すると、IPアドレスブラックリストまたはホワイトリストを設定して、特定のIPアドレスからのアクセスのみを拒否または許可できます。

IPアドレスとCIDRブロックのリストを追加できます。
たとえば、172.16.0.1/24 CIDRブロックをIPアドレスブラックリストまたはホワイトリストに追加できます。最初の24ビットはネットワークビットです。残りの⁸ビットはホストビットです。サブネットは254のホストに対応できます。したがって、CIDRブロックは172.16.0.1から172.16.0.255までのIPアドレスを指定します。
remote_addrまたはX-Forwarded-For (XFF) を優先的に使用するかどうかを選択して、リクエスト元のIPアドレスを決定できます。 remote_addrとX-Forwarded-For (XFF) の両方を使用することもできます。

詳細については、「IP アドレスブラックリストまたはホワイトリストの設定」をご参照ください。

概要

アクセス制御機能は、シンプルな設定のみを必要とし、ApsaraVideo VODリソース、特にwebクライアントからのアクセスを基本的に保護します。
リファラーとUser-Agentは一般的なHTTPヘッダーであり、偽造されやすく、セキュリティが低いです。
IPアドレスブラックリストまたはホワイトリストを設定した場合、多数のコンシューマにコンテンツを配布することはできません。したがって、IPベースのアクセス制御は、広範なコンテンツ配信には適していない。また、アクセス制限を超えない場合でも不正アクセスが発生する可能性があります。