视频内容保护

保护视频内容免遭未经授权访问是媒体公司的首要任务之一。盗版视频会影响他们的业务，原因在于订阅或广告造成的收入损失，以及对内容权利持有者的法律责任。

当您有权仅在特定国家/地区直播内容时，您应阻挡来自其他国家/地区的请求。本文解释了使用 CloudFront、AWS WAF 和边缘函数进行地理封锁的不同选项。当您使用 AWS WAF 进行地理封锁时，请考虑两个托管规则组，这些规则组与视频流有关，用于阻挡使用 VPN 的用户绕过您的地理隔离政策：

• 匿名 IP 列表托管规则，在 AWS WAF 中提供，不额外收费
• IP 欺诈检测与预防托管规则，由 GeoGuard 在 AWS Marketplace 中提供。

当您的应用程序只能通过浏览器（相对于移动应用程序或智能电视）访问时，可以考虑使用 CloudFront 的原生签名 Cookie，这是一种简单的令牌化机制，可在不收取额外费用的情况下阻挡未经授权的用户。您只需要在流式传输 CloudFront 发行版上启用签名 cookie，然后更新您的后端以在流媒体域上生成和设置 cookie（例如，使用 Set-Cookie 响应标头或使用 JavaScript 和 API 调用）。玩家在浏览器中发出的后续请求将包含该签名 cookie，并将由 CloudFront 授权。在以下博客系列（1 和 2）中了解此实现。

解决上述挑战的另一种多 CDN 方法是使用 CloudFront 作为其他 CDN 的源。但是，这种方法需要对架构的冗余进行额外的审查。例如，建议在使用 CloudFront 作为源时禁用第三方 CDN 的源防护或集中式缓存，以缩小局部 CloudFront PoP 受损的爆炸半径。还建议在 CloudFront 上启用 Origin Shield 以提高可用性和缓存命中率。如果您有 CloudFront 私有定价协议，并且想要实施此架构，请联系您的 AWS 账户团队就此进行讨论。

对于高级使用案例，如果您拥有异构用户设备群（机顶盒、智能电视），并且需要更复杂的令牌化逻辑以及在令牌签名中计算的自定义字段，可以考虑边缘安全媒体交付解决方案。这是基于 JWT 的令牌化解决方案，具有以下优点：

• 令牌是路径的一部分，几乎不需要在客户端或服务器端进行任何更改，使得解决方案非常容易与您的视频工作流程集成：\
• 与基于 cookie 的令牌不同，所有设备类型都支持基于路径的令牌。
  令牌签名可自定义，允许您包含不同的维度，例如 IP、国家/地区、用户代理标头等。
• 它基于 CloudFront Functions，这使其具有可扩展性和成本效益，即使对于大型活动也是如此。

此外，该解决方案还为您提供了用于生成令牌的 SDK、用于测试令牌的示例 UI，最重要的是会话撤消系统，可在几分钟内检测并自动阻挡盗版会话。

注意 CloudFront Functions 现已发布 KeyValueStore，您可能需要对其进行研究，并使用它作为存储阻止/撤销令牌和/或在 CloudFront 函数中实施额外自定义逻辑的替代方案。

• 讲座：路由环路 - AWS 上的边缘安全媒体交付
• 博客：使用 CORS 标头和 Amazon CloudFront 优化视频传输和缓存效率
• 博客：返回基础知识：条件访问与数字版权管理