Créer et mettre à jour des collections de clés

Ce guide explique comment créer et mettre à jour des collections de clés pour Media CDN.

Avant de commencer

Le EdgeCacheKeyset que vous configurez pour valider les jetons de requête signés doit inclure les clés appropriées pour l'algorithme de signature que vous choisissez.

Le tableau suivant décrit chacun des algorithmes de signature et leurs clés requises.

Algorithme de signature Clés requises dans le jeu de clés
Ed25519 Clés publiques
HMAC-SHA1 Clés de validation partagées
HMAC-SHA256 Clés de validation partagées

Vous devez disposer d'au moins une clé publique ou une clé partagée de validation. Vous pouvez avoir jusqu'à trois clés publiques et trois clés partagées de validation, pour un total de six clés par collection de clés. Pour en savoir plus sur la génération de HMAC lorsque vous utilisez l'authentification à deux jetons, consultez la section Générer des jetons.

Créer une collection de clés

Pour créer une collection de clés, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Media CDN.

    Accéder à Media CDN

  2. Cliquez sur l'onglet Collections de clés.
  3. Cliquez sur Créer une collection de clés.
  4. Dans le champ Name (Nom), saisissez un nom de collection de clés unique (par exemple, prod-vod-keyset).
  5. Facultatif: Dans le champ Description, saisissez une description de votre ensemble de clés.
  6. Facultatif: cliquez sur Ajouter un libellé, puis saisissez une ou plusieurs paires clé-valeur pour votre ensemble de clés.
  7. Spécifiez au moins une clé publique ou une clé de validation.

    Pour spécifier une clé publique, cliquez sur Ajouter une clé publique, puis procédez comme suit:

    1. Dans le champ ID, saisissez un ID alphanumérique.
    2. Sélectionnez Saisissez la valeur, puis spécifiez la valeur encodée en base64 de votre clé publique Ed25519. Vous pouvez également sélectionner Utiliser une clé gérée par Google pour l'authentification à double jeton.
  8. Pour spécifier une clé de validation partagée, cliquez sur Ajouter une clé de validation partagée, puis procédez comme suit :
    1. Pour Secret, sélectionnez un secret dans la liste, saisissez un secret manuellement en spécifiant son ID de ressource ou créez un secret, puis sélectionnez-le.
    2. Pour Version du secret, sélectionnez une version de secret dans la liste ou créez-en une, puis sélectionnez-la.
  9. Cliquez sur Créer une collection de clés.

gcloud

Exécutez la commande gcloud edge-cache keysets create.

gcloud edge-cache keysets create SHORT_KEYSET_NAME \
    --public-key='id=SSL_PUBLIC_KEY_NAME,value=SSL_PUBLIC_KEY_VALUE'

Remplacez les éléments suivants :

  • SHORT_KEYSET_NAME: nom unique du jeu de clés (par exemple, prod-vod-keyset)
  • SSL_PUBLIC_KEY_NAME: nom de votre clé publique SSL
  • SSL_PUBLIC_KEY_VALUE: valeur de votre clé publique SSL

Vérifiez les clés associées à une collection de clés. Exécutez la commande gcloud edge-cache keysets describe.

gcloud edge-cache keysets describe prod-vod-keyset

Le résultat ressemble à ce qui suit :

name: prod-vod-keyset
description: "Keyset for prod.example.com"
publicKeys:
  - id: "key-20200918"
    value: "DThVLjhAKm3VYOvLBAwFZ5XbjVyF98Ias8NZU0WEM9w"
  - id: "key-20200808"
    value: "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA="

Terraform

resource "google_network_services_edge_cache_keyset" "default" {
  name        = "prod-vod-keyset"
  description = "Keyset for prod.example.com"
  public_key {
    id    = "key-20200918"
    value = "FHsTyFHNmvNpw4o7-rp-M1yqMyBF8vXSBRkZtkQ0RKY" # Update Ed25519 public key
  }
  public_key {
    id    = "key-20200808"
    value = "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA=" # Update Ed25519 public key
  }
}

Modifier une collection de clés

Pour modifier un ensemble de clés, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Media CDN.

    Accéder à Media CDN

  2. Cliquez sur l'onglet Collections de clés.
  3. Cliquez sur le nom du jeu de clés.
  4. Pour passer en mode Édition, cliquez sur le bouton Modifier.
  5. Apportez les modifications nécessaires, puis cliquez sur Mettre à jour le jeu de touches.

gcloud

Exécutez la commande gcloud edge-cache keysets update :

gcloud edge-cache keysets update KEYSET_NAME