Questa pagina descrive come connettere Media CDN ai bucket privati compatibili con Amazon S3 utilizzando Amazon Simple Storage Service (Amazon S3) e la versione 4 della firma di AWS. Media CDN non supporta la versione 4a della firma di AWS.
Media CDN supporta la versione 4 della firma di AWS per autenticare le richieste di origine. Puoi utilizzare questa funzionalità per connettere Media CDN ai tuoi bucket privati compatibili con Amazon S3 per assicurarti che i tuoi contenuti vengano condivisi solo con Media CDN. Puoi anche abilitare l'autenticazione client per una maggiore difesa in profondità. Per saperne di più, consulta Utilizzare le richieste firmate.
GET
Prima di iniziare
Verifica di disporre delle seguenti risorse:
Un bucket Amazon S3 privato che rispetta le regole di denominazione.
Un account utente IAM AWS dedicato per accedere al bucket Amazon S3 privato precedente. Assicurati che il bucket conceda l'autorizzazione
s3:getObjectall'account utente IAM AWS. Per saperne di più sulla configurazione dell'accesso al bucket Amazon S3, consulta Gestione di identità e accessi in Amazon S3.L'ID chiave di accesso AWS e la chiave di accesso segreta AWS per l'account utente IAM AWS dedicato. Per saperne di più, consulta Gestire le chiavi di accesso per gli utenti IAM.
Se non hai mai utilizzato Secret Manager, configura Secret Manager.
Crea un agente di servizio per Media CDN
Per creare un service agent per Media CDN, utilizza il
gcloud beta services identity create comando.
gcloud
gcloud beta services identity create \
--project PROJECT_ID \
--service=networkservices.googleapis.com
Sostituisci PROJECT_ID con l'ID progetto.
Per saperne di più, consulta Attivare la creazione del service agent.
Archivia le chiavi di accesso in Secret Manager
Segui questi passaggi per creare un secret in Secret Manager.
Console
Nella Google Cloud console, vai alla pagina Secret Manager.
Nella pagina Secret Manager, fai clic su Crea secret.
Nella sezione Dettagli secret, completa quanto segue:
Nel campo Nome , inserisci un nome per il secret, ad esempio
aws-access-key-id.Nella sezione Valore secret, salta il campo Carica file.
Nel campo Valore secret, inserisci la chiave di accesso segreta AWS.
Salta le sezioni rimanenti.
Fai clic su Crea secret.
gcloud
Assicurati di utilizzare la versione 402.0.0 o successive di Google Cloud CLI. Su Compute Engine o Google Kubernetes Engine (GKE), devi eseguire l'autenticazione con l'ambito cloud-platform.
gcloud secrets create SECRET_NAME \
--replication-policy="automatic" \
--data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"
Sostituisci quanto segue:
SECRET_NAME: il nome del secret, ad esempioaws-access-key-idPATH_TO_AWS_SECRET_ACCESS_KEY: il percorso del valore della chiave di accesso segreta AWS
Per informazioni sull'aggiunta di versioni dei secret, consulta Aggiungere una versione del secret.
Concedi il ruolo di accesso a Secret Manager
Segui questi passaggi per concedere il
ruolo di accesso ai secret di Secret Manager
(roles/secretmanager.secretAccessor) al service
account Media CDN.
Console
Nella Google Cloud console, vai alla pagina Secret Manager.
- Seleziona il secret.
- Seleziona Autorizzazioni e poi Concedi accesso. Viene visualizzata la finestra di dialogo **Concedi accesso**.
Nella sezione Aggiungi entità, inserisci il account di servizio Media CDN nel campo Nuove entità come segue:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.comSostituisci
PROJECT_NUMBERcon il numero del progetto.- Nella sezione Assegna ruoli , in Seleziona un ruolo, seleziona Secret Manager e poi Funzione di accesso ai secret di Secret Manager.
- Fai clic su Salva.
gcloud
gcloud secrets add-iam-policy-binding \
projects/PROJECT_NUMBER/secrets/SECRET_NAME \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
--role="roles/secretmanager.secretAccessor"
Sostituisci quanto segue:
PROJECT_NUMBER: il numero del progettoSECRET_NAME: il nome del secret
Configura Media CDN per l'autenticazione al bucket di origine esterna
Console
Nella Google Cloud console, vai alla pagina Media CDN.
Fai clic sulla scheda Origini.
Fai clic sul nome dell'origine che vuoi configurare.
Si apre la pagina Dettagli origine della edge cache.
Fai clic sul pulsante Modifica.
In Indirizzo di origine, scegli Specifica un FQDN o un indirizzo IP e poi inserisci il FQDN o l'indirizzo IP.
Nella sezione Autenticazione dell'origine privata, seleziona Autentica la richiesta di Media CDN in questa origine con la versione 4 della firma di AWS.
Specifica le seguenti informazioni:
- ID chiave: l'ID chiave di accesso AWS con autorizzazioni di lettura per l'origine
- Fai riferimento a un secret: l'ID della chiave di accesso in Secret Manager e la relativa versione. Puoi selezionare un ID esistente, inserire un ID manualmente o creare un nuovo ID e selezionarlo.
- Regione: la regione in cui si trova il bucket Amazon S3, ad esempio
us-east-1
In Protocollo, seleziona HTTPS.
Fai clic su Aggiorna origine.
gcloud
Per esportare la configurazione attuale del servizio in un file YAML, esegui il
gcloud edge-cache services exportcomando:gcloud edge-cache services export SERVICE_NAME \ --destination=FILENAME.yamlSostituisci quanto segue:
SERVICE_NAME: il nome del servizio Media CDNFILENAME: il nome del file YAML
In Cloud Shell, utilizza un editor di testo per modificare il file YAML.
Aggiorna il file YAML in modo che contenga le seguenti righe:
name: ORIGIN_NAME originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" protocol: HTTPS awsV4Authentication: accessKeyId: "AWS_ACCESS_KEY_ID" secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION" originRegion: "S3_REGION"Sostituisci quanto segue:
ORIGIN_NAME: un nome che hai impostato per questa origineS3_BUCKET_NAME: il nome del bucket Amazon S3S3_REGION: la regione in cui si trova il bucket Amazon S3, ad esempious-east-1AWS_ACCESS_KEY_ID: l'ID chiave di accesso AWS con autorizzazioni di lettura per l'originePROJECT_NUMBER: il numero del progettoSECRET_NAME: l'ID della chiave di accesso in Secret ManagerSECRET_VERSION: la versione del secret da utilizzare
Configura le riscritture di host e percorsi per le richieste all'origine. Ad esempio, per mappare tutte le richieste con un prefisso del percorso
/vod/, configura unhostRewriteche corrisponda all'originAddresselencato nel file YAML diEdgeCacheService. Il seguente esempio di codice mostra come utilizzarehostRewrite:name: SERVICE_NAME routeRules: - priority: 1 - description: ROUTE_DESCRIPTION origin: ORIGIN_NAME matchRules: - prefixMatch: "/vod/" routeAction: urlRewrite: hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" pathPrefixRewrite: "/" cdnPolicy: cacheMode: CACHE_ALL_STATIC defaultTtl: 3600sSostituisci
SERVICE_NAMEcon il nome diEdgeCacheService.Per saperne di più, consulta Utilizzare i backend di archiviazione di terze parti.
Salva il file YAML.
Per aggiornare la configurazione, importa il file YAML.
gcloud edge-cache origins import ORIGIN_NAME \ --source=FILENAME.yaml
Dopo aver configurato Media CDN per l'autenticazione al bucket esterno, Media CDN genera un'intestazione di autorizzazione HTTP per tutte le richieste all'intestazione. Tutti parametri di ricerca vengono rimossi dal calcolo della firma e dalla richiesta all'origine.
L'origine potrebbe aggiungere intestazioni aggiuntive alle risposte. Per rimuovere le intestazioni delle risposte prima di pubblicarle per i client, consulta Impostare intestazioni personalizzate. Per saperne di più sulla configurazione delle origini, consulta Connettività e protezione dell'origine.