# Restricción del acceso a un origen de AWS Elemental MediaPackage v2
<a name="private-content-restricting-access-to-mediapackage"></a>

CloudFront proporciona *control de acceso de origen* (OAC) para restringir el acceso a un origen de MediaPackage v2.

**nota**  
CloudFront OAC solo admite MediaPackage v2. MediaPackage v1 no se admite.

**Topics**
+ [Creación de un nuevo OAC](#create-oac-overview-mediapackage)
+ [Configuración avanzada para el control de acceso de origen](#oac-advanced-settings-mediapackage)

## Creación de un nuevo OAC
<a name="create-oac-overview-mediapackage"></a>

Complete los pasos que se describen en los siguientes temas para configurar un nuevo OAC en CloudFront.

**Topics**
+ [Requisitos previos](#oac-prerequisites-mediapackage)
+ [Concesión del permiso de CloudFront para acceder al origen de MediaPackage v2](#oac-permission-to-access-mediapackage)
+ [Creación del OAC](#create-oac-mediapackage)

### Requisitos previos
<a name="oac-prerequisites-mediapackage"></a>

Antes de crear y configurar el OAC, debe tener una distribución de CloudFront con un origen de MediaPackage v2. Para obtener más información, consulte [Uso de un contenedor de MediaStore o un canal de MediaPackage](DownloadDistS3AndCustomOrigins.md#concept_AWS_Media).

### Concesión del permiso de CloudFront para acceder al origen de MediaPackage v2
<a name="oac-permission-to-access-mediapackage"></a>

Antes de crear un OAC o configurarlo en una distribución de CloudFront, asegúrese de que CloudFront tiene permiso para acceder al origen de MediaPackage v2. Realice esta acción después de crear una distribución de CloudFront, pero antes de agregar el OAC al origen de MediaPackage v2 en la configuración de distribución.

Utilice una política de IAM para permitir que la entidad principal del servicio de CloudFront (`cloudfront.amazonaws.com`) acceda al origen. Utilice un elemento `Condition` en la política para permitir que CloudFront acceda al origen de MediaPackage v2 *solo* cuando la solicitud sea en nombre de la distribución de CloudFront que contiene el origen de MediaPackage v2. Esta es la distribución con el origen de MediaPackage v2 a la que desea agregar OAC.

**Example : política de IAM que permite el acceso de solo lectura a una distribución de CloudFront con OAC habilitado**  
La siguiente política permite que la distribución de CloudFront (`E1PDK09ESKHJWT`) acceda al origen de MediaPackage v2. El origen es el ARN especificado para el elemento `Resource`.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {"Service": "cloudfront.amazonaws.com"},
            "Action": "mediapackagev2:GetObject",
            "Resource": "arn:aws:mediapackagev2:us-east-1:123456789012:channelGroup/channel-group-name/channel/channel-name/originEndpoint/origin_endpoint_name",
            "Condition": {
                "StringEquals": {"AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT"}
            }
        }
    ]
}
```

**Notas**  
Si ha activado la característica MQAR y el control de acceso de origen (OAC), agregue la acción `mediapackagev2:GetHeadObject` a la política de IAM. MQAR requiere este permiso para enviar solicitudes `HEAD` al origen de MediaPackage v2. Para obtener más información acerca de MQAR, consulte [Resiliencia basada en la calidad multimedia](media-quality-score.md).
Si crea una distribución que no tiene permiso para el origen de MediaPackage v2, puede elegir **Copiar política** en la consola de CloudFront y, a continuación, elegir **Actualizar permisos de punto de conexión**. Después, puede adjuntar el permiso copiado al dispositivo de punto de conexión. Para obtener más información, consulte [Endpoint policy fields](https://docs.aws.amazon.com/mediapackage/latest/userguide/endpoints-policy.html) en la *Guía del usuario de AWS Elemental MediaPackage*. 

### Creación del OAC
<a name="create-oac-mediapackage"></a>

Para crear un OAC, puede utilizar la Consola de administración de AWS, CloudFormation, la AWS CLI o la API de CloudFront.

------
#### [ Console ]

**Creación de un OAC**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel de navegación, elija **Origin access** (Acceso de origen).

1. Elija **Crear configuración de control**.

1. En el formulario **Crear nuevo OAC**, haga lo siguiente:

   1. Indique un **Nombre** y, opcionalmente, una **Descripción** para el OAC.

   1. En el panel **Configuración**, le recomendamos que deje la predeterminada, **Firmar solicitudes (recomendado)**. Para obtener más información, consulte [Configuración avanzada para el control de acceso de origen](#oac-advanced-settings-mediapackage).

1. Para **Tipo de origen**, elija **MediaPackage V2**. 

1. Seleccione **Crear**.
**sugerencia**  
Después de crear el OAC, anote el **Nombre**. Lo necesita en el siguiente procedimiento.

**Cómo agregar un OAC a un origen de MediaPackage v2 en una distribución**

1. Abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Elija una distribución con un origen de MediaPackage V2 a la que desee agregar el OAC y, a continuación, elija la pestaña **Orígenes**.

1. Seleccione el origen de MediaPackage v2 al que desea agregar el OAC y, a continuación, elija **Editar**.

1. Seleccione **Solo HTTP** para el **Protocolo** de origen.

1. En el menú desplegable **Control de acceso de origen**, elija el nombre de OAC que desee utilizar.

1. Seleccione **Save changes (Guardar cambios)**.

La distribución comienza a implementarse en todas las ubicaciones periféricas de CloudFront. Cuando una ubicación periférica recibe la nueva configuración, firma todas las solicitudes que envía al origen de MediaPackage v2.

------
#### [ CloudFormation ]

Para crear un OAC con CloudFormation, utilice el tipo de recurso `AWS::CloudFront::OriginAccessControl`. En el siguiente ejemplo se muestra la sintaxis de plantilla de CloudFormation, en formato YAML, para crear un OAC.

```
Type: AWS::CloudFront::OriginAccessControl
Properties: 
  OriginAccessControlConfig: 
      Description: An optional description for the origin access control
      Name: ExampleOAC
      OriginAccessControlOriginType: mediapackagev2
      SigningBehavior: always
      SigningProtocol: sigv4
```

Para obtener más información, consulte [AWS::CloudFront::OriginAccessControl](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cloudfront-originaccesscontrol.html) en la *Guía del usuario de AWS CloudFormation*.

------
#### [ CLI ]

Para crear un control de acceso de origen con la AWS Command Line Interface (AWS CLI), utilice el comando **aws cloudfront create-origin-access-control**. Puede utilizar un archivo de entrada para proporcionar los parámetros de entrada del comando, en lugar de especificar cada parámetro individual como entrada de la línea de comandos.

**Para crear un control de acceso de origen (CLI con archivo de entrada)**

1. Utilice el siguiente comando para crear un archivo llamado `origin-access-control.yaml`. Este archivo contiene todos los parámetros de entrada para el comando **create-origin-access-control**.

   ```
   aws cloudfront create-origin-access-control --generate-cli-skeleton yaml-input > origin-access-control.yaml
   ```

1. Abra el archivo `origin-access-control.yaml` que acaba de crear. Edite el archivo para agregar un nombre para el OAC, una descripción (opcional) y cambie `SigningBehavior` por `always`. A continuación, guarde el archivo.

   Para obtener información sobre otras configuraciones de OAC, consulte [Configuración avanzada para el control de acceso de origen](#oac-advanced-settings-mediapackage).

1. Utilice el siguiente comando para crear el control de acceso de origen mediante los parámetros de entrada del archivo `origin-access-control.yaml`.

   ```
   aws cloudfront create-origin-access-control --cli-input-yaml file://origin-access-control.yaml
   ```

   Anote el valor de `Id` en la salida del comando. Lo necesita para agregar el OAC a un origen de MediaPackage v2 en una distribución de CloudFront.

**Cómo adjuntar un OAC a un origen de MediaPackage v2 en una distribución existente (CLI con archivo de entrada)**

1. Utilice el comando siguiente para guardar la configuración de distribución de la distribución de CloudFront a la que desea agregar el OAC. La distribución debe tener un origen de MediaPackage v2.

   ```
   aws cloudfront get-distribution-config --id <CloudFront distribution ID> --output yaml > dist-config.yaml
   ```

1. Abra el archivo llamado `dist-config.yaml` que acaba de crear. Edite el archivo y realice los siguientes cambios:
   + En el objeto `Origins`, agregue el ID de OAC al campo que se llama `OriginAccessControlId`.
   + Elimine el valor del campo que se llama `OriginAccessIdentity`, si existe.
   + Cambie el nombre del campo `ETag` a `IfMatch`, pero no cambie el valor del campo.

   Guarde el archivo cuando haya terminado.

1. Utilice el siguiente comando para actualizar la distribución y utilizar el control de acceso de origen.

   ```
   aws cloudfront update-distribution --id <CloudFront distribution ID> --cli-input-yaml file://dist-config.yaml
   ```

La distribución comienza a implementarse en todas las ubicaciones periféricas de CloudFront. Cuando una ubicación periférica recibe la nueva configuración, firma todas las solicitudes que envía al origen de MediaPackage v2.

------
#### [ API ]

Para crear un OAC con la API de CloudFront, utilice [CreateOriginAccessControl](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateOriginAccessControl.html). Para obtener más información sobre los campos que especifique en esta llamada a la API, consulte la documentación de referencia de la API para el SDK de AWS u otro cliente de la API.

Después de crear un OAC, puede adjuntarlo a un origen de MediaPackage v2 en una distribución, mediante una de las siguientes llamadas a la API:
+ Para asociarlo a una distribución existente, utilice [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html).
+ Para asociarlo a una nueva distribución, utilice [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html).

Para estas dos llamadas a la API, proporcione el ID de OAC en el campo `OriginAccessControlId`, dentro de un origen. Para obtener más información sobre los otros campos que especifique en estas llamadas a la API, consulte [Referencia de toda la configuración de distribución](distribution-web-values-specify.md) y la documentación de referencia de la API para el SDK de AWS u otro cliente de la API.

------

## Configuración avanzada para el control de acceso de origen
<a name="oac-advanced-settings-mediapackage"></a>

La característica de OAC de CloudFront incluye configuraciones avanzadas que están pensadas solo para casos de uso específicos. Utilice la configuración recomendada a menos que tenga una necesidad específica de la configuración avanzada.

El OAC contiene una configuración denominada **Comportamiento de firma** (en la consola) o `SigningBehavior` (en la API, CLI y CloudFormation). Esta configuración proporciona las siguientes opciones:

**Firmar siempre las solicitudes de origen (configuración recomendada)**  
Recomendamos utilizar esta configuración, denominada **Firmar solicitudes (recomendado)** en la consola o `always` en la API, la CLI y CloudFormation. Con esta configuración, CloudFront siempre firma todas las solicitudes que envía al origen de MediaPackage v2.

**Nunca firmar solicitudes de origen**  
Esta configuración se denomina **No firmar solicitudes** en la consola o `never` en la API, la CLI y CloudFormation. Utilice esta configuración con el fin de desactivar el OAC para todos los orígenes en todas las distribuciones que utilizan este OAC. Esto puede ahorrar tiempo y esfuerzo en comparación con la eliminación de un OAC de todos los orígenes y distribuciones que lo utilizan, uno por uno. Con esta configuración, CloudFront no firma las solicitudes que envía al origen de MediaPackage v2.  
Para utilizar esta configuración, el origen de MediaPackage v2 debe ser de acceso público. Si utiliza esta configuración con un origen de MediaPackage v2 que no es de acceso público, CloudFront no podrá acceder al origen. El origen de MediaPackage v2 devuelve errores a CloudFront y CloudFront pasa esos errores a los lectores. Para obtener más información, consulte el ejemplo de política de MediaPackage v2 para [Policies and Permissions in MediaPackage](https://docs.aws.amazon.com/mediapackage/latest/userguide/policies-permissions.html) en la *Guía del usuario de AWS Elemental MediaPackage*.

**No anular el encabezado `Authorization` del lector (cliente)**  
Esta configuración se denomina **Do not override authorization header** (No anular el encabezado authorization en la consola o `no-override` en la API, la CLI y CloudFormation. Utilice esta configuración cuando desee que CloudFront firme las solicitudes de origen solo cuando la solicitud del lector correspondiente no incluya un encabezado `Authorization`. Con esta configuración, CloudFront pasa el encabezado `Authorization` de la solicitud del lector cuando hay uno, pero firma la solicitud de origen (agrega su propio encabezado `Authorization`) cuando la solicitud del lector no incluye un encabezado `Authorization`.  
Para pasar el encabezado `Authorization` de la solicitud del lector, *debe* agregar el encabezado `Authorization` a una [política de caché](controlling-the-cache-key.md) para todos los comportamientos de caché que utilizan los orígenes de MediaPackage v2 asociados con este control de acceso de origen.