Menggunakan bucket pribadi yang kompatibel dengan Amazon S3 sebagai origin

Halaman ini menjelaskan cara menghubungkan Media CDN ke bucket pribadi yang kompatibel dengan Amazon S3 menggunakan Amazon Simple Storage Service (Amazon S3) dan AWS Signature Version 4. Media CDN tidak mendukung AWS Signature Version 4a.

Media CDN mendukung AWS Signature Version 4 untuk mengautentikasi permintaan origin. Anda dapat menggunakan fitur ini untuk menghubungkan Media CDN ke bucket pribadi yang kompatibel dengan Amazon S3 untuk memastikan konten Anda hanya dibagikan ke Media CDN. Anda juga dapat mengaktifkan autentikasi klien untuk pertahanan yang lebih mendalam. Untuk mengetahui informasi selengkapnya, lihat Menggunakan permintaan yang ditandatangani.

Sebelum memulai

Pastikan Anda memiliki resource berikut:

  • Bucket Amazon S3 pribadi yang mengikuti aturan penamaan.

  • Akun pengguna AWS IAM khusus untuk mengakses bucket Amazon S3 pribadi sebelumnya. Pastikan bucket memberikan izin s3:getObject kepada akun pengguna AWS IAM. Untuk informasi selengkapnya tentang mengonfigurasi akses ke bucket Amazon S3, lihat Identity and access management in Amazon S3.

  • ID kunci akses AWS dan kunci akses rahasia AWS untuk akun pengguna AWS IAM khusus. Untuk informasi selengkapnya, lihat Mengelola kunci akses untuk pengguna IAM.

  • Jika Anda belum pernah menggunakan Secret Manager, konfigurasikan Secret Manager.

Membuat agen layanan untuk Media CDN

Untuk membuat agen layanan Media CDN, gunakan perintah gcloud beta services identity create.

gcloud 

gcloud beta services identity create \
    --project PROJECT_ID \
    --service=networkservices.googleapis.com

Ganti PROJECT_ID dengan project ID Anda.

Untuk informasi selengkapnya, lihat Memicu pembuatan agen layanan.

Menyimpan kunci akses di Secret Manager

Ikuti langkah-langkah ini untuk membuat secret di Secret Manager.

Konsol

  1. Di konsol Google Cloud, buka halaman Secret Manager.

    Buka Secret Manager

  2. Di halaman Secret Manager, klik Buat secret.

  3. Di bagian Secret details, selesaikan tindakan berikut:

    1. Di kolom Name, masukkan nama untuk secret, misalnya aws-access-key-id.

    2. Di bagian Nilai secret, lewati kolom Upload file.

    3. Di kolom Secret value, masukkan kunci akses rahasia AWS.

  4. Lewati bagian yang tersisa.

  5. Klik Buat secret.

gcloud

Pastikan Anda menggunakan Google Cloud CLI versi 402.0.0 atau yang lebih baru. Di Compute Engine atau Google Kubernetes Engine (GKE), Anda harus autentikasi dengan cakupan platform cloud.

gcloud secrets create SECRET_NAME \
    --replication-policy="automatic" \
    --data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"

Ganti kode berikut:

  • SECRET_NAME: nama untuk secret Anda, seperti aws-access-key-id
  • PATH_TO_AWS_SECRET_ACCESS_KEY: jalur ke nilai kunci akses secret AWS Anda

Untuk informasi tentang cara menambahkan versi secret, lihat Menambahkan versi secret.

Memberikan peran Akses Secret Manager

Ikuti langkah-langkah ini untuk memberikan peran Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) ke akun layanan Media CDN.

Konsol

  1. Di konsol Google Cloud, buka halaman Secret Manager.

    Buka Secret Manager

  2. Pilih secret.
  3. Pilih Izin, lalu pilih Berikan akses. Dialog Berikan akses akan muncul.

  4. Di bagian Tambahkan akun utama, masukkan akun layanan Media CDN di kolom New principals sebagai berikut:
    service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

    Ganti PROJECT_NUMBER dengan nomor project Anda.

  5. Di bagian Tetapkan peran, untuk Pilih peran, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
  6. Klik Simpan.

gcloud 

gcloud secrets add-iam-policy-binding \
projects/PROJECT_NUMBER/secrets/SECRET_NAME \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
    --role="roles/secretmanager.secretAccessor"

Ganti kode berikut:

  • PROJECT_NUMBER: nomor project Anda
  • SECRET_NAME: nama secret Anda

Mengonfigurasi Media CDN untuk mengautentikasi ke bucket origin eksternal Anda

Konsol

  1. Di konsol Google Cloud, buka halaman Media CDN.

    Buka Media CDN

  2. Klik tab Origins.

  3. Klik nama origin yang ingin Anda konfigurasi.

    Halaman Detail origin Edge Cache akan terbuka.

  4. Klik tombol Edit.

  5. Untuk Origin address, pilih Specify an FQDN or IP address, lalu masukkan FQDN atau alamat IP.

  6. Di bagian Autentikasi origin pribadi, pilih Autentikasi permintaan Media CDN ke origin ini dengan tanda tangan AWS versi 4.

  7. Tentukan informasi berikut:

    • ID Kunci: ID kunci akses AWS Anda dengan izin baca ke asal Anda
    • Mereferensikan secret: ID kunci akses Anda di Secret Manager dan versinya. Anda dapat memilih ID yang ada, memasukkan ID secara manual, atau membuat ID baru dan memilihnya.
    • Region: region tempat bucket Amazon S3 Anda berada, seperti us-east-1

  8. Untuk Protocol, pilih HTTPS.

  9. Klik Perbarui asal.

gcloud

  1. Untuk mengekspor konfigurasi layanan saat ini ke file YAML, jalankan perintah gcloud edge-cache services export:

    gcloud edge-cache services export SERVICE_NAME \
    --destination=FILENAME.yaml

    Ganti kode berikut:

    • SERVICE_NAME: nama layanan Media CDN
    • FILENAME: nama file YAML

  2. Di Cloud Shell, gunakan editor teks untuk mengedit file YAML.

  3. Perbarui file YAML sehingga memiliki baris berikut:

    name: ORIGIN_NAME
originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com"
protocol: HTTPS
awsV4Authentication:
  accessKeyId: "AWS_ACCESS_KEY_ID"
  secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION"
  originRegion: "S3_REGION"

    Ganti kode berikut:

    • ORIGIN_NAME: nama yang Anda tetapkan untuk origin ini
    • S3_BUCKET_NAME: nama bucket Amazon S3 Anda
    • S3_REGION: region tempat bucket Amazon S3 Anda berada, seperti us-east-1
    • AWS_ACCESS_KEY_ID: ID kunci akses AWS Anda dengan izin baca ke origin Anda
    • PROJECT_NUMBER: nomor project Anda
    • SECRET_NAME: ID kunci akses Anda di Secret Manager
    • SECRET_VERSION: versi secret yang akan digunakan

  4. Konfigurasikan penulisan ulang host dan jalur untuk permintaan ke origin Anda. Misalnya, untuk memetakan semua permintaan dengan awalan jalur /vod/, konfigurasikan hostRewrite yang sesuai dengan originAddress yang tercantum dalam file YAML EdgeCacheService. Contoh kode berikut menunjukkan cara menggunakan hostRewrite:

    name: SERVICE_NAME
routeRules:
  - priority: 1
  - description: ROUTE_DESCRIPTION
    origin: ORIGIN_NAME
    matchRules:
    - prefixMatch: "/vod/"
    routeAction:
      urlRewrite:
        hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com"
        pathPrefixRewrite: "/"
      cdnPolicy:
        cacheMode: CACHE_ALL_STATIC
        defaultTtl: 3600s

    Ganti SERVICE_NAME dengan nama EdgeCacheService Anda.

    Untuk informasi selengkapnya, lihat Menggunakan backend penyimpanan pihak ketiga.

  5. Simpan file YAML.

  6. Untuk memperbarui konfigurasi, impor file YAML.

    gcloud edge-cache origins import ORIGIN_NAME \
    --source=FILENAME.yaml

Setelah Anda mengonfigurasi Media CDN untuk mengautentikasi ke bucket eksternal, Media CDN akan membuat header otorisasi HTTP untuk semua permintaan ke header Anda. Semua parameter kueri dihapus dari penghitungan tanda tangan dan permintaan ke origin Anda.

Origin Anda mungkin menambahkan header tambahan ke respons Anda. Untuk menghapus header respons sebelum ditayangkan ke klien, lihat Menetapkan header kustom. Untuk informasi selengkapnya tentang cara mengonfigurasi origin, lihat Konektivitas dan perlindungan origin.