Esta página descreve como conectar o Media CDN a buckets particulares compatíveis com o Amazon S3 usando o Amazon Simple Storage Service (Amazon S3) e a AWS Signature Version 4. O Media CDN não é compatível com a versão 4a da assinatura da AWS.
A Media CDN oferece suporte à versão 4 do AWS Signature para autenticar solicitações de origem. Você pode usar esse recurso para conectar o Media CDN aos seus buckets particulares compatíveis com o Amazon S3 e garantir que seu conteúdo seja compartilhado apenas com o Media CDN. Também é possível ativar a autenticação do cliente para uma defesa em profundidade maior. Para mais informações, consulte Usar solicitações assinadas.
Antes de começar
Verifique se você tem os seguintes recursos:
Um bucket particular do Amazon S3 que segue as regras de nomenclatura.
Uma conta de usuário dedicada do AWS IAM para acessar o bucket privado do Amazon S3 anterior. Verifique se o bucket concede a permissão
s3:getObject
à conta de usuário do IAM da AWS. Para mais informações sobre como configurar o acesso ao seu bucket do Amazon S3, consulte Gerenciamento de identidade e acesso no Amazon S3.O ID da chave de acesso da AWS e a chave secreta da AWS para a conta de usuário dedicada do IAM da AWS. Para mais informações, consulte Como gerenciar chaves de acesso para usuários do IAM.
Se você ainda não usou o Secret Manager, configure o Secret Manager.
Criar um agente de serviço para o Media CDN
Para criar um agente de serviço para a CDN de mídia, use o
comando gcloud beta services identity create
.
gcloud
gcloud beta services identity create \ --project PROJECT_ID \ --service=networkservices.googleapis.com
Substitua PROJECT_ID
pela ID do seu projeto.
Para mais informações, consulte Criar um agente de serviço de gatilho.
Armazenar chaves de acesso no Secret Manager
Siga estas etapas para criar um secret no Secret Manager.
Console
No console do Google Cloud, acesse a página Secret Manager.
Na página Secret Manager, clique em Criar secret.
Na seção Detalhes do segredo, faça o seguinte:
No campo Nome, insira um nome para o secret, por exemplo,
aws-access-key-id
.Na seção Valor do secret, pule o campo Fazer upload de arquivo.
No campo Valor do secret, insira a chave de acesso secreta da AWS.
Pule as seções restantes.
Clique em Criar secret.
gcloud
Verifique se você está usando a versão 402.0.0 ou mais recente da Google Cloud CLI. No Compute Engine ou no Google Kubernetes Engine (GKE), é necessário fazer a autenticação com o escopo da plataforma em nuvem.
gcloud secrets create SECRET_NAME \ --replication-policy="automatic" \ --data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"
Substitua:
SECRET_NAME
: o nome do secreto, comoaws-access-key-id
PATH_TO_AWS_SECRET_ACCESS_KEY
: o caminho para o valor da chave de acesso secreta da AWS
Para saber como adicionar versões de secrets, consulte Adicionar uma versão de secret.
Conceder o papel de acesso do Secret Manager
Siga estas etapas para conceder o
papel Acessador de secret do Secret Manager
(roles/secretmanager.secretAccessor
) à conta de serviço do Media CDN.
Console
No console do Google Cloud, acesse a página Secret Manager.
- Selecione o secret.
- Selecione Permissões e Conceder acesso. A caixa de diálogo Conceder acesso será exibida.
Na seção Adicionar principais, insira a conta de serviço do Media CDN no campo Novos principais da seguinte maneira:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Substitua
PROJECT_NUMBER
pelo número do seu projeto.- Na seção Atribuir papéis, em Selecionar um papel, selecione Secret Manager e depois Acessador de secrets do Secret Manager.
- Clique em Salvar.
gcloud
gcloud secrets add-iam-policy-binding \ projects/PROJECT_NUMBER/secrets/SECRET_NAME \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Substitua:
PROJECT_NUMBER
: o ID do seu projetoSECRET_NAME
: o nome do secret
Configurar o Media CDN para autenticar no bucket de origem externa
Console
No console do Google Cloud, acesse a página Media CDN.
Clique na guia Origens.
Clique no nome da origem que você quer configurar.
A página Detalhes da origem do armazenamento em cache de borda é aberta.
Clique no botão Editar.
Em Endereço de origem, escolha Especificar um FQDN ou endereço IP e insira o FQDN ou endereço IP.
Na seção Autenticação de origem particular, selecione Autentique a solicitação do Media CDN para essa origem com a versão 4 da assinatura da AWS.
Especifique as seguintes informações:
- ID da chave: o ID da chave de acesso da AWS com permissões de leitura para a origem
- Referir um secret: o ID da chave de acesso no Secret Manager e a versão dela. Você pode selecionar um ID atual, inserir um ID manualmente ou criar e selecionar um novo.
- Região: a região em que o bucket do Amazon S3 está localizado, como
us-east-1
Em Protocolo, selecione HTTPS.
Clique em Atualizar origem.
gcloud
Para exportar a configuração atual do serviço para um arquivo YAML, execute o comando
gcloud edge-cache services export
:gcloud edge-cache services export SERVICE_NAME \ --destination=FILENAME.yaml
Substitua:
SERVICE_NAME
: o nome do serviço da Media CDNFILENAME
: o nome do arquivo YAML
No Cloud Shell, use um editor de texto para editar o arquivo YAML.
Atualize o arquivo YAML para que ele tenha as seguintes linhas:
name: ORIGIN_NAME originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" protocol: HTTPS awsV4Authentication: accessKeyId: "AWS_ACCESS_KEY_ID" secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION" originRegion: "S3_REGION"
Substitua:
ORIGIN_NAME
: um nome definido para essa origemS3_BUCKET_NAME
: o nome do bucket do Amazon S3S3_REGION
: a região em que o bucket do Amazon S3 está localizado, comous-east-1
AWS_ACCESS_KEY_ID
: o ID da chave de acesso da AWS com permissões de leitura para a origem.PROJECT_NUMBER
: o ID do seu projetoSECRET_NAME
: o ID da chave de acesso no Secret ManagerSECRET_VERSION
: a versão do secret a ser usada
Configure as substituições de host e de caminho para solicitações na origem. Por exemplo, para mapear todas as solicitações com um prefixo de caminho de
/vod/
, configure umhostRewrite
que corresponda aooriginAddress
listado no arquivo YAML doEdgeCacheService
. O exemplo de código abaixo mostra como usarhostRewrite
:name: SERVICE_NAME routeRules: - priority: 1 - description: ROUTE_DESCRIPTION origin: ORIGIN_NAME matchRules: - prefixMatch: "/vod/" routeAction: urlRewrite: hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" pathPrefixRewrite: "/" cdnPolicy: cacheMode: CACHE_ALL_STATIC defaultTtl: 3600s
Substitua
SERVICE_NAME
pelo nome doEdgeCacheService
.Para mais informações, consulte Usar back-ends de armazenamento de terceiros.
Salve o arquivo YAML.
Para atualizar a configuração, importe o arquivo YAML.
gcloud edge-cache origins import ORIGIN_NAME \ --source=FILENAME.yaml
Depois de configurar o Media CDN para autenticar no bucket externo, ele gera um cabeçalho de autorização HTTP para todas as solicitações. Todos os parâmetros de consulta são removidos do cálculo da assinatura e da solicitação para a origem.
A origem pode anexar outros cabeçalhos às respostas. Para remover os cabeçalhos de resposta antes de servir aos clientes, consulte Definir cabeçalhos personalizados. Para mais informações sobre como configurar origens, consulte Proteção e conectividade de origem.