Auf dieser Seite wird beschrieben, wie Sie Media CDN mit privaten, Amazon S3-kompatiblen Buckets unter Verwendung von Amazon Simple Storage Service (Amazon S3) und AWS Signature Version 4 verbinden. Media CDN unterstützt nicht AWS Signature Version 4a.
Media CDN unterstützt AWS Signature Version 4 zur Authentifizierung von Ursprungsanfragen. Mit dieser Funktion kannst du Media CDN mit deinen privaten, Amazon S3-kompatiblen Buckets verbinden, damit deine Inhalte nur mit Media CDN geteilt werden. Sie können auch die Clientauthentifizierung aktivieren, um die Sicherheit zu erhöhen. Weitere Informationen finden Sie unter Signierte Anfragen verwenden.
Hinweise
Es müssen die folgenden Ressourcen vorhanden sein:
Ein privater Amazon S3-Bucket, der den Benennungsregeln entspricht.
Ein spezielles AWS IAM-Nutzerkonto für den Zugriff auf den obigen privaten Amazon S3-Bucket. Achten Sie darauf, dass dem AWS IAM-Nutzerkonto die Berechtigung
s3:getObjectfür den Bucket gewährt wird. Weitere Informationen zum Konfigurieren des Zugriffs auf Ihren Amazon S3-Bucket finden Sie unter Identitäts- und Zugriffsverwaltung in Amazon S3.Die AWS-Zugriffsschlüssel-ID und der geheime AWS-Zugriffsschlüssel für das spezielle AWS IAM-Nutzerkonto. Weitere Informationen finden Sie unter Zugriffsschlüssel für IAM-Nutzer verwalten.
Wenn Sie Secret Manager noch nicht verwendet haben, konfigurieren Sie Secret Manager.
Dienst-Agent für Media CDN erstellen
Verwenden Sie den Befehl gcloud beta services identity create, um einen Dienstmitarbeiter für Media CDN zu erstellen.
gcloud
gcloud beta services identity create \
--project PROJECT_ID \
--service=networkservices.googleapis.com
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Weitere Informationen finden Sie unter Erstellung von Dienst-Agents auslösen.
Zugriffsschlüssel in Secret Manager speichern
Folgen Sie dieser Anleitung, um ein Secret in Secret Manager zu erstellen.
Console
Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.
Klicken Sie auf der Seite Secret Manager auf Secret erstellen.
Führen Sie im Abschnitt Details zum Geheimnis die folgenden Schritte aus:
Geben Sie im Feld Name einen Namen für das Secret ein, z. B.
aws-access-key-id.Überspringen Sie im Bereich Secret-Wert das Feld Datei hochladen.
Geben Sie im Feld Secret-Wert den AWS-Secret-Zugriffsschlüssel ein.
Überspringen Sie die restlichen Abschnitte.
Klicken Sie auf Secret erstellen.
gcloud
Sie benötigen die Google Cloud CLI-Version 402.0.0 oder höher. In der Compute Engine oder Google Kubernetes Engine (GKE) müssen Sie sich mit dem Bereich „cloud-platform“ authentifizieren.
gcloud secrets create SECRET_NAME \
--replication-policy="automatic" \
--data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"
Ersetzen Sie Folgendes:
SECRET_NAME: Der Name für Ihr Geheimnis, z. B.aws-access-key-idPATH_TO_AWS_SECRET_ACCESS_KEY: der Pfad zum Wert Ihres geheimen AWS-Zugriffsschlüssels
Informationen zum Hinzufügen von Secret-Versionen finden Sie unter Secret-Version hinzufügen.
Secret Manager-Zugriffsrolle gewähren
So weisen Sie dem Media CDN-Dienstkonto die Rolle Zugriffsperson für Secret Manager-Secret (roles/secretmanager.secretAccessor) zu:
Console
Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.
- Wählen Sie das Secret aus.
- Wählen Sie Berechtigungen und dann Zugriff gewähren aus. Das Dialogfeld Zugriff gewähren wird angezeigt.
Geben Sie im Abschnitt Hauptkonten hinzufügen das Media CDN-Dienstkonto im Feld Neue Hauptkonten folgendermaßen ein:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.comErsetzen Sie
PROJECT_NUMBERdurch die Projektnummer.- Wählen Sie im Abschnitt Rollen zuweisen unter Rolle auswählen die Option Secret Manager und dann Zugriffsperson für Secret Manager-Secret aus.
- Klicken Sie auf Speichern.
gcloud
gcloud secrets add-iam-policy-binding \
projects/PROJECT_NUMBER/secrets/SECRET_NAME \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
--role="roles/secretmanager.secretAccessor"
Ersetzen Sie Folgendes:
PROJECT_NUMBER: Ihre ProjektnummerSECRET_NAME: der Name Ihres Secrets
Media CDN für die Authentifizierung bei Ihrem externen Ursprungs-Bucket konfigurieren
Console
Rufen Sie in der Google Cloud Console die Seite Media CDN auf.
Klicken Sie auf den Tab Ursprung.
Klicken Sie auf den Namen der Quelle, die Sie konfigurieren möchten.
Die Seite Details zum Edge-Cache-Ursprung wird geöffnet.
Klicken Sie auf Bearbeiten.
Wählen Sie unter Quelladresse die Option FQDN oder IP-Adresse angeben aus und geben Sie den FQDN oder die IP-Adresse ein.
Wähle im Abschnitt Authentifizierung des privaten Ursprungs die Option Media CDN-Anfrage an diesen Ursprung mit AWS-Signaturversion 4 authentifizieren aus.
Geben Sie die folgenden Informationen an:
- Schlüssel-ID: Ihre AWS-Zugriffsschlüssel-ID mit Leseberechtigungen für Ihren Ursprung
- Auf ein Secret verweisen: die ID Ihres Zugriffsschlüssels in Secret Manager und seine Version. Sie können eine vorhandene ID auswählen, eine ID manuell eingeben oder eine neue ID erstellen und auswählen.
- Region: Die Region, in der sich Ihr Amazon S3-Bucket befindet, z. B.
us-east-1.
Wählen Sie für Protokoll die Option HTTPS aus.
Klicken Sie auf Ursprung aktualisieren.
gcloud
Wenn Sie die aktuelle Konfiguration Ihres Dienstes in eine YAML-Datei exportieren möchten, führen Sie den Befehl
gcloud edge-cache services exportaus:gcloud edge-cache services export SERVICE_NAME \ --destination=FILENAME.yamlErsetzen Sie Folgendes:
SERVICE_NAME: der Name des Media CDN-DienstesFILENAME: der Name der YAML-Datei
Bearbeiten Sie die YAML-Datei in Cloud Shell mit einem Texteditor.
Aktualisieren Sie die YAML-Datei so, dass sie die folgenden Zeilen enthält:
name: ORIGIN_NAME originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" protocol: HTTPS awsV4Authentication: accessKeyId: "AWS_ACCESS_KEY_ID" secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION" originRegion: "S3_REGION"Ersetzen Sie Folgendes:
ORIGIN_NAME: Ein Name, den Sie für diesen Ursprung festgelegt haben.S3_BUCKET_NAME: der Name Ihres Amazon S3-BucketsS3_REGION: die Region, in der sich Ihr Amazon S3-Bucket befindet, z. B.us-east-1AWS_ACCESS_KEY_ID: Ihre AWS-Zugriffsschlüssel-ID mit Leseberechtigungen für die QuellePROJECT_NUMBER: Ihre ProjektnummerSECRET_NAME: Die ID Ihres Zugriffsschlüssels im Secret Manager.SECRET_VERSION: Die zu verwendende Secret-Version
Konfigurieren Sie Host- und Pfad-Umschreibungen für Anfragen an Ihren Ursprung. Um beispielsweise alle Anfragen mit dem Pfadpräfix
/vod/zuzuordnen, konfigurieren Sie einenhostRewrite, der demoriginAddressentspricht, der in der YAML-Datei IhresEdgeCacheServiceaufgeführt ist. Das folgende Codebeispiel zeigt die Verwendung vonhostRewrite:name: SERVICE_NAME routeRules: - priority: 1 - description: ROUTE_DESCRIPTION origin: ORIGIN_NAME matchRules: - prefixMatch: "/vod/" routeAction: urlRewrite: hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" pathPrefixRewrite: "/" cdnPolicy: cacheMode: CACHE_ALL_STATIC defaultTtl: 3600sErsetzen Sie
SERVICE_NAMEdurch den Namen IhresEdgeCacheService.Weitere Informationen finden Sie unter Speicher-Back-Ends von Drittanbietern verwenden.
Speichern Sie die YAML-Datei.
Importieren Sie die YAML-Datei, um die Konfiguration zu aktualisieren.
gcloud edge-cache origins import ORIGIN_NAME \ --source=FILENAME.yaml
Nachdem du Media CDN für die Authentifizierung bei deinem externen Bucket konfiguriert hast, generiert Media CDN einen HTTP-Autorisierungsheader für alle Anfragen an deinen Header. Alle Abfrageparameter werden aus der Signaturberechnung und der Anfrage an Ihren Ursprung entfernt.
Ihr Ursprung kann Ihren Antworten zusätzliche Header anhängen. Informationen zum Entfernen der Antwortheader vor dem Senden an Clients finden Sie unter Benutzerdefinierte Header festlegen. Weitere Informationen zum Konfigurieren von Ursprüngen finden Sie unter Ursprungskonnektivität und -abschirmung.