Cette page explique comment connecter Media CDN à des réseaux privés des buckets compatibles avec Amazon S3 via Amazon Simple Storage Service (Amazon S3) et AWS Signature version 4. Media CDN n'est pas compatible avec la version 4a d'AWS Signature.
Media CDN est compatible avec la version 4 d'AWS Signature pour authentifier les requêtes d'origine. Vous pouvez utiliser cette fonctionnalité pour connecter Media CDN vers vos buckets privés compatibles avec Amazon S3 assurez-vous que votre contenu n'est partagé qu'avec Media CDN. Vous pouvez également activer l'authentification client pour plus de défense en profondeur. Pour en savoir plus, consultez la page Utiliser des requêtes signées.
Avant de commencer
Vérifiez que vous disposez des ressources suivantes:
Un bucket Amazon S3 privé qui respecte les règles de dénomination
Un compte utilisateur AWS IAM dédié pour accéder à l'instance privée précédente Bucket Amazon S3. Assurez-vous que le bucket accorde l'autorisation
s3:getObjectau compte utilisateur IAM AWS. Pour en savoir plus sur configuration de l'accès à votre bucket Amazon S3, consultez Gestion de l'authentification et des accès dans Amazon S3ID de clé d'accès AWS et clé d'accès secrète AWS pour le compte utilisateur AWS IAM dédié. Pour en savoir plus, consultez Gérer les clés d'accès pour les utilisateurs IAM
Si vous n'avez pas encore utilisé Secret Manager, configurez Secret Manager.
Créer un agent de service pour Media CDN
Pour créer un agent de service pour Media CDN, utilisez la méthode
Commande gcloud beta services identity create
gcloud
gcloud beta services identity create \
--project PROJECT_ID \
--service=networkservices.googleapis.com
Remplacez PROJECT_ID par l'ID du projet.
Pour en savoir plus, consultez la section Déclencher la création d'un agent de service.
Stocker les clés d'accès dans Secret Manager
Suivez ces étapes pour créer un secret dans Secret Manager.
Console
Dans la console Google Cloud, accédez à la page Secret Manager.
Sur la page Secret Manager, cliquez sur Créer un secret.
Dans la section Informations sur le secret, procédez comme suit:
Dans le champ Nom, saisissez le nom secret, par exemple
aws-access-key-id.Dans la section Valeur du secret, ignorez le champ Importer un fichier.
Dans le champ Valeur du secret, saisissez la clé d'accès secrète AWS.
Ignorez les sections restantes.
Cliquez sur Créer un secret.
gcloud
Assurez-vous d'utiliser la version 402.0.0 ou ultérieure de la Google Cloud CLI. Sur Compute Engine ou Google Kubernetes Engine (GKE), vous devez s'authentifier avec le champ d'application Cloud Platform.
gcloud secrets create SECRET_NAME \
--replication-policy="automatic" \
--data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"
Remplacez les éléments suivants :
SECRET_NAME: nom de votre secret, tel queaws-access-key-idPATH_TO_AWS_SECRET_ACCESS_KEY: chemin d'accès à la valeur de votre clé d'accès secrète AWS
Pour en savoir plus sur l'ajout de versions de secret, consultez Ajoutez une version de secret.
Attribuer le rôle "Accès" de Secret Manager
Procédez comme suit pour accorder au
Rôle d'accesseur de secrets Secret Manager
(roles/secretmanager.secretAccessor) au service Media CDN
de service.
Console
Dans la console Google Cloud, accédez à la page Secret Manager.
- Sélectionnez le secret.
- Sélectionnez Autorisations, puis Accorder l'accès. La La boîte de dialogue Accorder l'accès s'affiche.
Dans la section Ajouter des comptes principaux, saisissez le compte de service Media CDN dans Nouveau champ "Comptes principaux" comme suit:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.comRemplacez
PROJECT_NUMBERpar votre numéro de projet.- Dans la section Attribuer des rôles, sous Sélectionnez un rôle, sélectionnez Secret Manager, puis sélectionnez Accesseur de secrets Secret Manager
- Cliquez sur Enregistrer.
gcloud
gcloud secrets add-iam-policy-binding \
projects/PROJECT_NUMBER/secrets/SECRET_NAME \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
--role="roles/secretmanager.secretAccessor"
Remplacez les éléments suivants :
PROJECT_NUMBER: votre numéro de projetSECRET_NAME: nom de votre secret
Configurer Media CDN pour qu'il s'authentifie auprès de votre bucket d'origine externe
Console
Dans la console Google Cloud, accédez à la page Media CDN.
Cliquez sur l'onglet Origines.
Cliquez sur le nom de l'origine que vous souhaitez configurer.
La page Détails de l'origine de la mise en cache périphérique s'ouvre.
Cliquez sur le bouton Modifier.
Sous Adresse d'origine, sélectionnez Spécifier un nom de domaine complet ou une adresse IP, puis saisissez le nom de domaine complet ou l'adresse IP.
Dans la section Authentification de l'origine privée, sélectionnez Authentifier Requête Media CDN vers cette origine avec la version de signature AWS 4
Spécifiez les informations suivantes :
- ID de clé: votre ID de clé d'accès AWS avec des autorisations de lecture pour votre origine
- Référencer un secret : ID de votre clé d'accès dans Secret Manager et sa version. Vous pouvez sélectionner un identifiant existant, saisir un identifiant manuellement ou en créer un et le sélectionner.
- Region (Région) : région dans laquelle se trouve votre bucket Amazon S3
situées dans, par exemple,
us-east-1
Dans le champ Protocole, sélectionnez HTTPS.
Cliquez sur Mettre à jour l'origine.
gcloud
Pour exporter la configuration actuelle de votre service dans un fichier YAML, exécutez la commande
gcloud edge-cache services export:gcloud edge-cache services export SERVICE_NAME \ --destination=FILENAME.yamlRemplacez les éléments suivants :
SERVICE_NAME: nom du Service Media CDNFILENAME: nom du fichier YAML
Dans Cloud Shell, utilisez un éditeur de texte pour modifier le fichier YAML.
Mettez à jour le fichier YAML de sorte qu'il comporte les lignes suivantes:
name: ORIGIN_NAME originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" protocol: HTTPS awsV4Authentication: accessKeyId: "AWS_ACCESS_KEY_ID" secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION" originRegion: "S3_REGION"Remplacez les éléments suivants :
ORIGIN_NAME: nom que vous définissez pour cet élément origineS3_BUCKET_NAME: nom de votre Bucket Amazon S3S3_REGION: région dans laquelle Le bucket Amazon S3 se trouve, par exemple, dansus-east-1AWS_ACCESS_KEY_ID: votre ID de clé d'accès AWS avec des autorisations de lecture sur votre originePROJECT_NUMBER: votre numéro de projetSECRET_NAME: l'ID de votre clé d'accès dans Secret ManagerSECRET_VERSION: version du secret à utiliser.
Configurez les réécritures d'hôte et de chemin d'accès pour les requêtes adressées à votre origine. Par exemple, pour mapper toutes les requêtes avec le préfixe de chemin d'accès
/vod/, configurez un élémenthostRewritecorrespondant à l'élémentoriginAddressrépertorié dans le fichier YAML de votreEdgeCacheService. L'exemple de code suivant montre comment utiliserhostRewrite:name: SERVICE_NAME routeRules: - priority: 1 - description: ROUTE_DESCRIPTION origin: ORIGIN_NAME matchRules: - prefixMatch: "/vod/" routeAction: urlRewrite: hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" pathPrefixRewrite: "/" cdnPolicy: cacheMode: CACHE_ALL_STATIC defaultTtl: 3600sRemplacez
SERVICE_NAMEpar le nom de votreEdgeCacheService.Pour en savoir plus, consultez la section Utiliser des backends de stockage tiers.
Enregistrez le fichier YAML.
Pour mettre à jour votre configuration, importez le fichier YAML.
gcloud edge-cache origins import ORIGIN_NAME \ --source=FILENAME.yaml
Une fois que vous avez configuré Media CDN pour qu'il s'authentifie auprès de votre bucket externe, Media CDN génère un en-tête d'autorisation HTTP pour toutes les requêtes envoyées à votre en-tête. Tous les paramètres de requête sont supprimés du calcul de la signature et de la requête vers votre origine.
Votre origine peut ajouter des en-têtes supplémentaires à vos réponses. Pour supprimer le des en-têtes de réponse avant de les diffuser aux clients, consultez la section Définir des en-têtes personnalisés. Pour en savoir plus sur la configuration des origines, consultez Connectivité et blindage de l'origine.