配置专用源站身份验证

本页面简要介绍专用源站身份验证以及将其用于 Cloud CDN 的说明。

专用源站身份验证为 Cloud CDN 提供对私有 Amazon S3 存储桶或兼容对象的长期资源访问权限。使用专用源站可防止客户端绕过 Cloud CDN 直接访问您的源站。

使用全球外部 HTTP(S) 负载均衡器或全球外部 HTTP(S) 负载均衡器(经典版)的 Cloud CDN 支持此功能。

专用源站身份验证是面向源站的,而签名网址签名 Cookie 是面向客户端的。您可以为相同的内容启用这两项。专用源站身份验证可限制对源站和内容的非 CDN 访问。签名网址和 Cookie 用于控制哪些用户可以访问 Cloud CDN。

准备工作

在使用专用源站身份验证之前,请执行以下操作:

  • 获取 Amazon S3 存储桶或其他兼容的对象存储区的访问密钥和访问密钥 ID。如需了解 Amazon S3 的详细步骤,请参阅使用 AWS 凭据访问 AWS:程序化访问

  • 如果您的对象存储区需要 HTTP 请求的 Host 标头的特定值,请确保在后端服务中配置它。如果您未配置自定义请求标头,则后端服务会保留客户端用于连接到外部 HTTP(S) 负载均衡器的 Host 标头。如需了解配置步骤,请参阅使用自定义请求标头。如需查看具体示例,请参阅配置具有外部后端的负载均衡器

  • 如有必要,请更新到 Google Cloud CLI 的最新版本:

    gcloud components update

如需了解详情,请参阅对内容进行身份验证

设置专用源站身份验证

如需为 Amazon S3 存储桶或兼容对象存储区配置专用源站身份验证,请按照以下说明操作:

gcloud

  1. 使用 gcloud beta compute backend-services export 命令将专用源站的后端配置导出到 .yaml 文件:

    gcloud beta compute backend-services export BACKEND_SERVICE_NAME \
   [--destination=DESTINATION]

    DESTINATION 替换为 .yaml 文件的名称,例如 my-private-origin.yaml

  2. 通过在 backendServicessecuritySettings 部分中指定以下附加配置选项,使用 AWS Signature Version 4 对后端请求进行身份验证:

    securitySettings:
  awsV4Authentication:
    accessKeyId: ACCESS_KEY_ID
    accessKey: ACCESS_KEY
    accessKeyVersion: ACCESS_KEY_VERSION
    originRegion: REGION
…]

    请替换以下内容:

    • ACCESS_KEY_ID:访问密钥的唯一 ID
    • ACCESS_KEY:用于身份验证的访问密钥
    • ACCESS_KEY_VERSION(可选):您可以设置为用于表示密钥版本的唯一名称
    • REGION:存储提供商f的有效区域;不是 Google Cloud 区域

    以下代码段显示了示例 my-private-origin.yaml 文件的内容:

     name: shopping-cart-services
 backends:
   - description: cart-backend-1
     group: 'https://www.googleapis.com/compute/beta/projects/my-project-id/global/networkEndpointGroups/my-network-origin-group'
 securitySettings:
   awsV4Authentication:
     accessKeyId: AKIDEXAMPLE
     accessKey: c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9
     accessKeyVersion: prod-access-key-v1.2
     originRegion: us-east-2

  3. 如需更新专用源站,请使用 gcloud beta compute backend-services import 命令将配置导入后端服务:

    gcloud beta compute backend-services import BACKEND_SERVICE_NAME \
   [--source=SOURCE]

    SOURCE 替换为 .yaml 文件的名称。

API

如需使用 AWS Signature Version 4 对后端请求进行身份验证,请在 backendServicessecuritySettings 部分中指定下列额外的配置选项。

对于后端服务,请使用 Method: backendServices.insertMethod: backendServices.update API 调用。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/backendServices
PUT https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE

将以下代码段添加到 JSON 请求正文:

securitySettings: {
  awsV4Authentication: {
    accessKeyId: ACCESS_KEY_ID,
    accessKey: ACCESS_KEY,
    accessKeyVersion: ACCESS_KEY_VERSION,
    originRegion: REGION
  }
}

请替换以下内容:

  • ACCESS_KEY_ID:访问密钥的唯一 ID
  • ACCESS_KEY:用于身份验证的访问密钥
  • ACCESS_KEY_VERSION(可选):您可以设置为用于表示密钥版本的唯一名称
  • REGION:存储提供商f的有效区域;不是 Google Cloud 区域

以下代码段显示了示例 JSON 请求正文的内容:

securitySettings: {
  awsV4Authentication: {
    accessKeyId: "AKIDEXAMPLE",
    accessKey: "c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9",
    accessKeyVersion: "prod-access-key-v1.2",
    originRegion: "us-east-2"
  }
}

服务名称会自动设置为 s3 以创建签名。完成这些配置后,Cloud CDN 会为发送到您的源站的所有请求生成 HTTP 授权标头。

后续步骤