Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'autenticazione dell'origine privata

Questa pagina fornisce una panoramica dell'autenticazione dell'origine privata e le istruzioni per utilizzarla con Cloud CDN.

L'autenticazione dell'origine privata consente a Cloud CDN di accedere alle risorse a lungo termine in bucket Amazon S3 privati o in altri archivi di oggetti compatibili. L'utilizzo di origini private impedisce ai client di bypassare Cloud CDN e di accedere direttamente all'origine.

Questa funzionalità è supportata per Cloud CDN con un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico.

L'autenticazione dell'origine privata è rivolta all'origine, mentre gli URL firmati e i cookie firmati sono rivolti al client. Puoi attivare entrambe le opzioni per gli stessi contenuti. L'autenticazione dell'origine privata limita l'accesso non CDN alle origini e ai contenuti. Gli URL e i cookie firmati controllano gli utenti che possono accedere a Cloud CDN.

Prima di iniziare

Crea una chiave HMAC (Hash-based Message Authentication Code) per autenticare le richieste e associala a un account di servizio. Prendi nota della chiave di accesso e del secret.

Consulta Accesso ad AWS utilizzando le credenziali AWS: accesso programmatico nella documentazione di AWS.
Configura un bilanciatore del carico con il backend esterno.

Se l'object store si aspetta un valore specifico per l'intestazione Host della richiesta HTTP, assicurati che sia configurato nel servizio di backend. Se non configurerai un'intestazione di richiesta personalizzata, il servizio di backend manterrà l'intestazione Host utilizzata dal client per connettersi al bilanciatore del carico delle applicazioni esterno.

Per la procedura di configurazione, consulta Utilizzare le intestazioni delle richieste personalizzate. Per un esempio specifico, consulta Configurare un bilanciatore del carico con un backend esterno.
Se necessario, esegui l'aggiornamento alla versione più recente di Google Cloud CLI:
```
gcloud components update
```

Configurare l'autenticazione per le origini private

Per configurare l'autenticazione dell'origine privata, segui le istruzioni riportate di seguito:

Console

Nella Google Cloud console, vai alla pagina Cloud CDN.

Vai a Cloud CDN
Fai clic sul nome dell'origine da configurare. L'origine deve essere di tipo Origine personalizzata.
Nella pagina Dettagli dell'origine, fai clic sul pulsante Modifica.
Per andare alla sezione Regole host e percorso, fai clic su Avanti.
Per andare alla sezione Efficienza della cache, fai clic su Avanti.
Nella sezione Autenticazione dell'origine privata, seleziona Autentica le richieste a questa origine con la versione 4 della firma di AWS. Quindi, specifica le seguenti informazioni:
- ID chiave: la chiave di accesso per il tuo bucket Amazon S3 o un altro archivio di oggetti compatibile.
- Chiave: la chiave segreta utilizzata per l'autenticazione nell'archivio di oggetti. Se utilizzi un bucket Cloud Storage privato, specifica la chiave HMAC.
- Versione della chiave: un nome univoco per rappresentare la versione della chiave.
- Regione: la regione in cui si trova l'archivio di oggetti, ad esempio us-east-1.
Fai clic su Fine.

gcloud

Esporta la configurazione di backend per l'origine privata in un file YAML utilizzando il comando gcloud compute backend-services export:
```
gcloud compute backend-services export BACKEND_SERVICE_NAME \
   [--destination=DESTINATION]
```
Sostituisci DESTINATION con il nome del file YAML, ad esempio my-private-origin.yaml.

Per autenticare le richieste di backend utilizzando la chiave HMAC, specifica queste opzioni di configurazione aggiuntive nella sezione securitySettings di backendServices:

securitySettings:
  awsV4Authentication:
    accessKeyId: ACCESS_KEY_ID
    accessKey: ACCESS_KEY
    [accessKeyVersion: ACCESS_KEY_VERSION]
    originRegion: REGION
…]

Sostituisci quanto segue:

ACCESS_KEY_ID: l'ID chiave di accesso HMAC
ACCESS_KEY: la chiave di accesso HMAC
ACCESS_KEY_VERSION (facoltativo): un nome univoco che puoi impostare per rappresentare la versione della chiave
REGION: una regione valida per il fornitore di servizi di archiviazione. Per Amazon S3, il valore non è una regione Google Cloud.

Lo snippet seguente mostra i contenuti di un file my-private-origin.yaml di esempio:

 name: shopping-cart-services
 backends:
   - description: cart-backend-1
     group: 'https://www.googleapis.com/compute/v1/projects/my-project-id/global/networkEndpointGroups/my-network-origin-group'
 securitySettings:
   awsV4Authentication:
     accessKeyId: AKIDEXAMPLE
     accessKey: c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9
     accessKeyVersion: prod-access-key-v1.2
     originRegion: us-east-2

Per aggiornare l'origine privata, importa la configurazione nel servizio di backend utilizzando il comando gcloud compute backend-services import:
```
gcloud compute backend-services import BACKEND_SERVICE_NAME \
   [--source=SOURCE]
```
Sostituisci SOURCE con il nome del file YAML.

API

Per autenticare le richieste al backend utilizzando la chiave HMAC, specifica queste opzioni di configurazione aggiuntive nella sezione securitySettings di backendServices.

Utilizza la chiamata API Method: backendServices.insert o Method: backendServices.update.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices
PUT https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE

Aggiungi il seguente snippet al corpo della richiesta JSON:

securitySettings: {
  awsV4Authentication: {
    accessKeyId: ACCESS_KEY_ID,
    accessKey: ACCESS_KEY,
    [accessKeyVersion: ACCESS_KEY_VERSION],
    originRegion: REGION
  }
}

Sostituisci quanto segue:

ACCESS_KEY_ID: l'ID chiave di accesso HMAC
ACCESS_KEY: la chiave di accesso HMAC
ACCESS_KEY_VERSION (facoltativo): un nome univoco che puoi impostare per rappresentare la versione della chiave
REGION: una regione valida per il fornitore di servizi di archiviazione. Per Amazon S3, il valore non è una regione Google Cloud.

Il seguente snippet mostra i contenuti di un corpo della richiesta JSON di esempio:

securitySettings: {
  awsV4Authentication: {
    accessKeyId: "AKIDEXAMPLE",
    accessKey: "c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9",
    accessKeyVersion: "prod-access-key-v1.2",
    originRegion: "us-east-2"
  }
}

Il nome del servizio viene impostato automaticamente su s3 per la creazione della firma. Una volta implementate queste configurazioni, Cloud CDN genera un intestazione di autorizzazione HTTP per tutte le richieste all'origine.

Memorizzare nella cache le risposte autenticate in privato

Ti consigliamo di assicurarti che i contenuti autenticati in privato vengano memorizzati nella cache da Cloud CDN.

Per farlo, imposta la modalità cache su Forza memorizzazione nella cache di tutto il contenuto e specifica un TTL, in modo che tutti i contenuti pubblicati dall'origine vengano memorizzati nella cache.

In alternativa, se non vuoi forzare la memorizzazione nella cache di tutti i contenuti nello stesso modo, imposta la modalità di cache su Utilizza l'impostazione dell'origine in base alle intestazioni Cache-Control o Memorizza nella cache i contenuti statici e assicurati che l'intestazione Cache-Control sia impostata correttamente sui contenuti pubblicati dall'origine.

Passaggi successivi

Best practice per la sicurezza sul web