このガイドでは、Media CDN の鍵セットを作成および更新する方法について説明します。
始める前に
署名付きリクエスト トークンを検証するために構成する EdgeCacheKeyset には、選択した署名アルゴリズム用の正しい鍵が含まれている必要があります。
次の表に、各署名アルゴリズムと必要な鍵を示します。
| 署名アルゴリズム | 鍵セット内の必要な鍵 |
|---|---|
| Ed25519 | 公開鍵 |
| HMAC-SHA1 | 共有検証鍵 |
| HMAC-SHA256 | 共有検証鍵 |
少なくとも、公開鍵または検証用の共有鍵のいずれかが必要です。鍵セットあたり、公開鍵と共有検証鍵をそれぞれ 3 つまで、合計 6 つの鍵を指定できます。デュアル トークン認証を使用する場合の HMAC の生成については、トークンを生成するをご覧ください。
鍵セットを作成する
新しい鍵セットを作成するには、次の手順を行います。
Console
- Google Cloud コンソールで、[Media CDN] ページに移動します。
- [鍵セット] タブをクリックします。
- [鍵セットを作成] をクリックします。
- [名前] に、一意の鍵セット名を入力します(例:
prod-vod-keyset)。 - 省略可: [説明] に、鍵セットの説明を入力します。
- 省略可: [ラベルを追加] をクリックして、鍵セットの Key-Value ペアを 1 つ以上入力します。
- 少なくとも 1 つの公開鍵または検証鍵を指定します。
公開鍵を指定するには、[公開鍵を追加] をクリックして、次の操作を行います。
- [ID] に英数字の ID を入力します。
- [値を入力] を選択し、Ed25519 公開鍵の base64 でエンコードされた値を指定します。または、[デュアル トークン認証に Google が管理する鍵を使用する] を選択します。
- 検証用の共有キーを指定するには、[検証用の共有キーを追加] をクリックして、次の操作を行います。
- [シークレット] で、リストからシークレットを選択し、リソース ID を指定して手動でシークレットを入力するか、新しいシークレットを作成して選択します。
- [シークレットのバージョン] で、リストからシークレット バージョンを選択するか、新しいシークレット バージョンを作成して選択します。
- [鍵セットを作成] をクリックします。
gcloud
gcloud edge-cache keysets create コマンドを使用します。
gcloud edge-cache keysets create SHORT_KEYSET_NAME \
--public-key='id=SSL_PUBLIC_KEY_NAME,value=SSL_PUBLIC_KEY_VALUE'
次のように置き換えます。
SHORT_KEYSET_NAME: 鍵セットの一意の名前(例:prod-vod-keyset)SSL_PUBLIC_KEY_NAME: SSL 公開鍵の名前SSL_PUBLIC_KEY_VALUE: SSL 公開鍵の値
鍵セットに関連付けられている鍵を確認します。gcloud edge-cache keysets describe コマンドを使用します。
gcloud edge-cache keysets describe prod-vod-keyset
出力は次のようになります。
name: prod-vod-keyset
description: "Keyset for prod.example.com"
publicKeys:
- id: "key-20200918"
value: "DThVLjhAKm3VYOvLBAwFZ5XbjVyF98Ias8NZU0WEM9w"
- id: "key-20200808"
value: "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA="
Terraform
鍵セットを変更する
鍵セットを変更するには、次の手順を行います。
Console
- Google Cloud コンソールで、[Media CDN] ページに移動します。
- [鍵セット] タブをクリックします。
- 鍵セット名をクリックします。
- 編集モードに切り替えるには、[編集] ボタンをクリックします。
- 必要な変更を行い、[鍵セットを更新] をクリックします。
gcloud
gcloud edge-cache keysets update コマンドを使用します。
gcloud edge-cache keysets update KEYSET_NAME