影片內容保護

保護影片內容免受未經授權的存取是媒體公司的首要任務之一。盜版影片會對內容權利持有人的訂閱或廣告收入帶來損失以及造成法律責任，從而影響其業務。

當您擁有在特定國家/地區串流內容的專屬權利時，您應該封鎖來自其他國家/地區的請求。本文說明您使用 CloudFront、AWS WAF 和邊緣函數進行地理封鎖的不同選項。當您使用 AWS WAF 進行地理封鎖時，請考慮以下兩個受管規則群組，這兩個群組與影片串流相關，以封鎖使用 VPN 繞過地理圍欄政策的使用者：

• AWS WAF 提供匿名 IP 清單受管規則，不需額外付費
• GeoGuard 在 AWS Marketplace 中提供的 IP 詐騙偵測與預防受管規則。

當您的應用程式只能透過瀏覽器 (與行動應用程式或智慧型電視) 存取時，請考慮使用 CloudFront 的原生已簽署的 Cookie，這是一種簡單的記號化機制，可阻止未經授權的用戶，無需額外付費。您只需要在串流 CloudFront 分發上啟用已簽署的 Cookie，然後更新後端，就可以在串流網域上產生並設定 Cookie (例如，使用 Set-Cookie 回應標頭或使用 javascript 和 API 呼叫)。瀏覽器中播放器的後續請求將包含已簽署的 Cookie，並由 CloudFront 授權。在以下部落格系列 (1 和 2) 中了解此實作。

解決上述挑戰的另一種多重 CDN 方法是使用 CloudFront 作為其他 CDN 的來源。但是，這種方法需要對架構的冗餘進行額外的審查。例如，建議在使用 CloudFront 作為其來源時，停用第三方 CDN 的 Origin Shield 或集中式快取，以減少本地化 CloudFront PoP 損害的影響範圍。同時也建議您在 CloudFront 上啟用 Origin Shield，以提高可用性和快取命中率。如果您有 CloudFront 私人定價協議，而且想要實作此架構，請與您的 AWS 客戶團隊聯繫以進行討論。

對於進階使用案例，如果您擁有異質使用者裝置基礎 (機頂盒、智慧型電視)，需要更複雜的記號化邏輯，並且在權杖簽章中運算自訂欄位，請考慮使用在邊緣保護媒體交付解決方案。這是基於 JWT 的記號化解決方案，具有以下優點：

• 權杖是路徑的一部分，在用戶端或伺服器端幾乎不需要變更，從而使該解決方案非常容易與您的影片工作流程整合：\
• 基於路徑的權杖與 Cookie 型權杖不同，前者受到所有裝置類型支援。
  權杖簽章是可自訂的，可讓您包含不同的維度，例如 IP，國家/地區，User Agent 標頭等。
• 它以 CloudFront Functions 為基礎，因此可以擴展且具有成本效益，即使對於大規模事件也是如此。

此外，該解決方案還為您提供一個 SDK 來產生權杖、一個範例 UI 來測試權杖，最重要的是，還提供一個工作階段撤銷系統，可在幾分鐘內偵測並自動封鎖盜版工作階段。

注意 CloudFront Functions 現已發布 KeyValueStore，您可能需要查看，並將其用作為存儲阻止/撤銷字符和/或在 CloudFront 功能中實現額外的自訂邏輯的替代方法。

• 講座：路由循環 - 在 AWS 邊緣保護媒體交付
• 部落格文章：使用 CORS 標頭和 Amazon CloudFront 將影片交付和快取效率最佳化
• 部落格文章：回到基本：條件式存取與數位版權管理的對比