Cette page présente l'authentification de l'origine privée et explique comment l'utiliser avec Cloud CDN.
L'authentification de l'origine privée permet à Cloud CDN d'accéder aux ressources à long terme à des buckets Amazon S3 privés ou à d'autres magasins d'objets compatibles. L'utilisation d'origines privées empêche les clients de contourner Cloud CDN et d'accéder directement à votre origine.
Cette fonctionnalité est compatible avec Cloud CDN avec un équilibreur de charge d'application externe global ou un équilibreur de charge d'application classique.
L'authentification de l'origine privée est liée à l'origine, tandis que les URL signées et les cookies signés sont côté client. Vous pouvez activer les deux pour le même contenu. L'authentification des origines privées limite l'accès non CDN à vos origines et à votre contenu. Les URL et cookies signés déterminent quels utilisateurs peuvent accéder à Cloud CDN.
Avant de commencer
Créez une clé HMAC (Hash-based Message Authentication Code) pour authentifier les requêtes et l'associer à un compte de service. Notez la clé d'accès et le code secret.
Consultez la section Accéder à AWS à l'aide de vos identifiants AWS: accès programmatique dans la documentation AWS.
Configurez un équilibreur de charge avec le backend externe.
Si votre magasin d'objets attend une valeur particulière pour l'en-tête
Hostde la requête HTTP, assurez-vous qu'elle est configurée dans le service de backend. Si vous ne configurez pas d'en-tête de requête personnalisé, le service de backend conserve l'en-têteHostutilisé par le client pour se connecter à l'équilibreur de charge d'application externe.Pour connaître les étapes de configuration, consultez Utiliser des en-têtes de requêtes personnalisés. Pour obtenir un exemple spécifique, consultez la page Configurer un équilibreur de charge avec un backend externe.
Si nécessaire, installez la dernière version de Google Cloud CLI :
gcloud components update
Configurer l'authentification pour les origines privées
Pour configurer l'authentification de l'origine privée, procédez comme suit:
gcloud
Exportez la configuration du backend de votre origine privée dans un fichier
.yamlà l'aide de la commandegcloud compute backend-services export:gcloud compute backend-services export BACKEND_SERVICE_NAME \ [--destination=DESTINATION]
Remplacez
DESTINATIONpar le nom du fichier.yaml(par exemple,my-private-origin.yaml).Pour authentifier vos requêtes backend à l'aide de la clé HMAC, spécifiez ces options de configuration supplémentaires dans la section
securitySettingsdu fichierbackendServices:securitySettings: awsV4Authentication: accessKeyId: ACCESS_KEY_ID accessKey: ACCESS_KEY [accessKeyVersion: ACCESS_KEY_VERSION] originRegion: REGION …]Remplacez les éléments suivants :
ACCESS_KEY_ID: ID de clé d'accès HMACACCESS_KEY: clé d'accès HMACACCESS_KEY_VERSION(facultatif): nom unique que vous pouvez définir pour représenter la version de clé.REGION: région valide pour votre fournisseur de stockage. Pour Amazon S3, la valeur ne correspond pas à une région Google Cloud.
L'extrait de code suivant montre le contenu d'un exemple de fichier
my-private-origin.yaml:name: shopping-cart-services backends: - description: cart-backend-1 group: 'https://www.googleapis.com/compute/v1/projects/my-project-id/global/networkEndpointGroups/my-network-origin-group' securitySettings: awsV4Authentication: accessKeyId: AKIDEXAMPLE accessKey: c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9 accessKeyVersion: prod-access-key-v1.2 originRegion: us-east-2Pour mettre à jour votre origine privée, importez la configuration dans votre service de backend à l'aide de la commande
gcloud compute backend-services import:gcloud compute backend-services import BACKEND_SERVICE_NAME \ [--source=SOURCE]
Remplacez
SOURCEpar le nom du fichier.yaml.
API
Pour authentifier vos requêtes backend à l'aide de la clé HMAC, spécifiez ces options de configuration supplémentaires dans la section securitySettings de backendServices.
Utilisez l'appel d'API Method: backendServices.insert ou Method: backendServices.update.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices PUT https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE
Ajoutez l'extrait suivant au corps de la requête JSON :
securitySettings: {
awsV4Authentication: {
accessKeyId: ACCESS_KEY_ID,
accessKey: ACCESS_KEY,
[accessKeyVersion: ACCESS_KEY_VERSION],
originRegion: REGION
}
}
Remplacez les éléments suivants :
ACCESS_KEY_ID: ID de clé d'accès HMACACCESS_KEY: clé d'accès HMACACCESS_KEY_VERSION(facultatif): nom unique que vous pouvez définir pour représenter la version de clé.REGION: région valide pour votre fournisseur de stockage. Pour Amazon S3, la valeur ne correspond pas à une région Google Cloud.
L'extrait de code suivant montre le contenu d'un exemple de corps de requête JSON:
securitySettings: {
awsV4Authentication: {
accessKeyId: "AKIDEXAMPLE",
accessKey: "c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9",
accessKeyVersion: "prod-access-key-v1.2",
originRegion: "us-east-2"
}
}
Pour la création de la signature, le nom du service est automatiquement défini sur s3.
Une fois ces configurations en place, Cloud CDN génère un en-tête d'autorisation HTTP pour toutes les requêtes adressées à votre origine.
Mettre en cache les réponses authentifiées en mode privé
Vous pouvez vous assurer que le contenu authentifié de manière privée est mis en cache par Cloud CDN.
Pour ce faire, définissez le mode de cache sur Forcer la mise en cache de tous les contenus et spécifiez une valeur TTL, de sorte que tout le contenu diffusé à partir de l'origine soit mis en cache.
Si vous ne souhaitez pas forcer la mise en cache de tous les contenus de la même manière, définissez le mode de cache sur Utiliser le paramètre d'origine basé sur les en-têtes Cache-Control ou sur Mettre en cache le contenu statique et assurez-vous que l'en-tête Cache-Control est correctement défini sur le contenu diffusé depuis votre origine.