このページは Cloud Translation API によって翻訳されました。

署名を生成する

このガイドでは、署名の作成方法と、署名の必須フィールドとオプションフィールドについて説明します。

署名を作成するには、署名する文字列を作成します。このガイドでは、これを署名付き値と呼びます。署名付き値には、保護するコンテンツ、署名付き値の有効期限などを記述するパラメータが含まれます。

署名付き値は、署名文字列の作成時に使用します。署名文字列を作成するには、署名付き値の非対称鍵 Ed25519 署名など、署名のパラメータを作成します。

Media CDN は、最終的な作成された署名を使用してコンテンツを保護します。

サポートされている署名形式

Media CDN は、次の署名付きリクエスト形式をサポートしています。

形式	動作	例
クエリパラメータ（正確な URL）	正確な URL。特定の URL へのアクセスを許可します。	Exact: `https://media.example.com/content/manifest.m3u8? Expires=EXPIRATION &KeyName=KEY_NAME &Signature=SIGNATURE`
クエリパラメータ（URL 接頭辞）	`URLPrefix` を指定すると、接頭辞に署名して、プレーヤーまたはマニフェスト生成内の複数の URL に同じクエリパラメータを追加できます。	署名する対象: `URLPrefix=PREFIX &Expires=EXPIRATION &KeyName=KEY_NAME &Signature=SIGNATURE` `PREFIX` は、スキーム、ホスト、部分パスなどのアクセスを許可する接頭辞に置き換えます。
経路コンポーネント	接頭辞: `"/edge-cache-token=[...]"` コンポーネントの前にある接頭辞を持つ任意の URL へのアクセスを許可します。これにより、相対マニフェスト URL は、サブリソースを取得するときに署名付き URL コンポーネントを自動的に継承できます。	`https://media.example.com/video/edge-cache-token=Expires=EXPIRATION &KeyName=KEY_NAME &Signature=SIGNATURE/manifest_12382131.m3u8`
署名付き Cookie	接頭辞: Cookie は、署名付き `URLPrefix` 値で指定された接頭辞を持つ任意の URL へのアクセスを許可します。	Edge-Cache-Cookie: `URLPrefix=PREFIX: Expires=EXPIRATION: KeyName=KEY_NAME: Signature=SIGNATURE`

署名の作成

必須署名フィールドと必要なオプション署名フィールドを含む文字列を連結して、署名付き値を作成します。

指定する場合、URLPrefix を最初に配置し、Expires、KeyName、オプションのパラメータを続ける必要があります。

各フィールドとパラメータは、次のように区切ります。
- Cookie の場合は、コロン（:）文字を使用します。
- クエリパラメータとパスコンポーネントには、アンパサンド（&）文字を使用します。
Ed25519 署名で署名付き値に署名します。
フィールド区切り文字（: または &）を追加し、その後に Signature= と Ed25519 署名を文字列の末尾に追加します。

署名付き URL を作成する

次のサンプルコードは、署名付き URL をプログラムで作成する方法を示しています。

Go

Media CDN に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証を設定するをご覧ください。

import (
	"crypto/ed25519"
	"encoding/base64"
	"fmt"
	"io"
	"strings"
	"time"
)

// signURL prints the signed URL string for the specified URL and configuration.
func signURL(w io.Writer, url, keyName string, privateKey []byte, expires time.Time) error {
	// url := "http://example.com"
	// keyName := "your_key_name"
	// privateKey := "[]byte{34, 31, ...}"
	// expires := time.Unix(1558131350, 0)

	sep := '?'
	if strings.ContainsRune(url, '?') {
		sep = '&'
	}
	toSign := fmt.Sprintf("%s%cExpires=%d&KeyName=%s", url, sep, expires.Unix(), keyName)
	sig := ed25519.Sign(privateKey, []byte(toSign))

	fmt.Fprintf(w, "%s&Signature=%s", toSign, base64.RawURLEncoding.EncodeToString(sig))

	return nil
}

Python

import base64
import datetime

import cryptography.hazmat.primitives.asymmetric.ed25519 as ed25519


from six.moves import urllib

def sign_url(
    url: str, key_name: str, base64_key: str, expiration_time: datetime.datetime
) -> str:
    """Gets the Signed URL string for the specified URL and configuration.

    Args:
        url: URL to sign as a string.
        key_name: name of the signing key as a string.
        base64_key: signing key as a base64 encoded byte string.
        expiration_time: expiration time as a UTC datetime object.

    Returns:
        Returns the Signed URL appended with the query parameters based on the
        specified configuration.
    """
    stripped_url = url.strip()
    parsed_url = urllib.parse.urlsplit(stripped_url)
    query_params = urllib.parse.parse_qs(parsed_url.query, keep_blank_values=True)
    epoch = datetime.datetime.utcfromtimestamp(0)
    expiration_timestamp = int((expiration_time - epoch).total_seconds())
    decoded_key = base64.urlsafe_b64decode(base64_key)

    url_pattern = "{url}{separator}Expires={expires}&KeyName={key_name}"

    url_to_sign = url_pattern.format(
        url=stripped_url,
        separator="&" if query_params else "?",
        expires=expiration_timestamp,
        key_name=key_name,
    )

    digest = ed25519.Ed25519PrivateKey.from_private_bytes(decoded_key).sign(
        url_to_sign.encode("utf-8")
    )
    signature = base64.urlsafe_b64encode(digest).decode("utf-8")
    signed_url = "{url}&Signature={signature}".format(
        url=url_to_sign, signature=signature
    )

    return signed_url

署名付き URL 接頭辞を作成する

次のサンプルコードは、署名付き URL 接頭辞をプログラムで作成する方法を示しています。

Go

import (
	"crypto/ed25519"
	"encoding/base64"
	"fmt"
	"io"
	"strings"
	"time"
)

// signURLPrefix prints the signed URL string for the specified URL prefix and configuration.
func signURLPrefix(w io.Writer, urlPrefix, keyName string, privateKey []byte, expires time.Time) error {
	// urlPrefix := "https://examples.com"
	// keyName := "your_key_name"
	// privateKey := "[]byte{34, 31, ...}"
	// expires := time.Unix(1558131350, 0)

	sep := '?'
	if strings.ContainsRune(urlPrefix, '?') {
		sep = '&'
	}

	toSign := fmt.Sprintf(
		"URLPrefix=%s&Expires=%d&KeyName=%s",
		base64.RawURLEncoding.EncodeToString([]byte(urlPrefix)),
		expires.Unix(),
		keyName,
	)
	sig := ed25519.Sign(privateKey, []byte(toSign))

	fmt.Fprintf(
		w,
		"%s%c%s&Signature=%s",
		urlPrefix,
		sep,
		toSign,
		base64.RawURLEncoding.EncodeToString(sig),
	)

	return nil
}

Python

import base64
import datetime

import cryptography.hazmat.primitives.asymmetric.ed25519 as ed25519


from six.moves import urllib

def sign_url_prefix(
    url: str,
    url_prefix: str,
    key_name: str,
    base64_key: str,
    expiration_time: datetime.datetime,
) -> str:
    """Gets the Signed URL string for the specified URL prefix and configuration.

    Args:
        url: URL of request.
        url_prefix: URL prefix to sign as a string.
        key_name: name of the signing key as a string.
        base64_key: signing key as a base64 encoded string.
        expiration_time: expiration time as a UTC datetime object.

    Returns:
        Returns the Signed URL appended with the query parameters based on the
        specified URL prefix and configuration.
    """
    stripped_url = url.strip()
    parsed_url = urllib.parse.urlsplit(stripped_url)
    query_params = urllib.parse.parse_qs(parsed_url.query, keep_blank_values=True)
    encoded_url_prefix = base64.urlsafe_b64encode(
        url_prefix.strip().encode("utf-8")
    ).decode("utf-8")
    epoch = datetime.datetime.utcfromtimestamp(0)
    expiration_timestamp = int((expiration_time - epoch).total_seconds())
    decoded_key = base64.urlsafe_b64decode(base64_key)

    policy_pattern = (
        "URLPrefix={encoded_url_prefix}&Expires={expires}&KeyName={key_name}"
    )
    policy = policy_pattern.format(
        encoded_url_prefix=encoded_url_prefix,
        expires=expiration_timestamp,
        key_name=key_name,
    )

    digest = ed25519.Ed25519PrivateKey.from_private_bytes(decoded_key).sign(
        policy.encode("utf-8")
    )
    signature = base64.urlsafe_b64encode(digest).decode("utf-8")
    signed_url = "{url}{separator}{policy}&Signature={signature}".format(
        url=stripped_url,
        separator="&" if query_params else "?",
        policy=policy,
        signature=signature,
    )
    return signed_url

次のコードサンプルは、署名付き URL Cookie をプログラムで作成する方法を示しています。

Go

import (
	"crypto/ed25519"
	"encoding/base64"
	"fmt"
	"io"
	"time"
)

// signCookie prints the signed cookie value for the specified URL prefix and configuration.
func signCookie(w io.Writer, urlPrefix, keyName string, privateKey []byte, expires time.Time) error {
	// urlPrefix := "http://example.com"
	// keyName := "your_key_name"
	// privateKey := "[]byte{34, 31, ...}"
	// expires := time.Unix(1558131350, 0)

	toSign := fmt.Sprintf(
		"URLPrefix=%s:Expires=%d:KeyName=%s",
		base64.RawURLEncoding.EncodeToString([]byte(urlPrefix)),
		expires.Unix(),
		keyName,
	)
	sig := ed25519.Sign(privateKey, []byte(toSign))

	fmt.Fprintf(
		w,
		"Edge-Cache-Cookie=%s:Signature=%s",
		toSign,
		base64.RawURLEncoding.EncodeToString(sig),
	)

	return nil
}

Python

import base64
import datetime

import cryptography.hazmat.primitives.asymmetric.ed25519 as ed25519


from six.moves import urllib

def sign_cookie(
    url_prefix: str, key_name: str, base64_key: str, expiration_time: datetime.datetime
) -> str:
    """Gets the Signed cookie value for the specified URL prefix and configuration.

    Args:
        url_prefix: URL prefix to sign as a string.
        key_name: name of the signing key as a string.
        base64_key: signing key as a base64 encoded string.
        expiration_time: expiration time as a UTC datetime object.

    Returns:
        Returns the Edge-Cache-Cookie value based on the specified configuration.
    """
    encoded_url_prefix = base64.urlsafe_b64encode(
        url_prefix.strip().encode("utf-8")
    ).decode("utf-8")
    epoch = datetime.datetime.utcfromtimestamp(0)
    expiration_timestamp = int((expiration_time - epoch).total_seconds())
    decoded_key = base64.urlsafe_b64decode(base64_key)

    policy_pattern = (
        "URLPrefix={encoded_url_prefix}:Expires={expires}:KeyName={key_name}"
    )
    policy = policy_pattern.format(
        encoded_url_prefix=encoded_url_prefix,
        expires=expiration_timestamp,
        key_name=key_name,
    )

    digest = ed25519.Ed25519PrivateKey.from_private_bytes(decoded_key).sign(
        policy.encode("utf-8")
    )
    signature = base64.urlsafe_b64encode(digest).decode("utf-8")

    signed_policy = "Edge-Cache-Cookie={policy}:Signature={signature}".format(
        policy=policy, signature=signature
    )
    return signed_policy

署名付きパスコンポーネントを作成する

次のコードサンプルは、署名付きパスコンポーネントをプログラムで作成する方法を示しています。

Python

import base64
import datetime
import hashlib
import hmac

import cryptography.hazmat.primitives.asymmetric.ed25519 as ed25519


def base64_encoder(value: bytes) -> str:
    """
    Returns a base64-encoded string compatible with Media CDN.

    Media CDN uses URL-safe base64 encoding and strips off the padding at the
    end.
    """
    encoded_bytes = base64.urlsafe_b64encode(value)
    encoded_str = encoded_bytes.decode("utf-8")
    return encoded_str.rstrip("=")


def sign_path_component(
    url_prefix: str,
    filename: str,
    key_name: str,
    base64_key: str,
    expiration_time: datetime.datetime,
) -> str:
    """Gets the Signed URL string for the specified URL prefix and configuration.

    Args:
        url_prefix: URL Prefix to sign as a string.
        filename: The filename of the sample request
        key_name: The name of the signing key as a string.
        base64_key: The signing key as a base64 encoded string.
        expiration_time: Expiration time as a UTC datetime object with timezone.

    Returns:
        Returns the Signed URL appended with the query parameters based on the
        specified URL prefix and configuration.
    """

    expiration_duration = expiration_time.astimezone(
        tz=datetime.timezone.utc
    ) - datetime.datetime.fromtimestamp(0, tz=datetime.timezone.utc)
    decoded_key = base64.urlsafe_b64decode(base64_key)

    policy_pattern = "{url_prefix}edge-cache-token=Expires={expires}&KeyName={key_name}"
    policy = policy_pattern.format(
        url_prefix=url_prefix,
        expires=int(expiration_duration.total_seconds()),
        key_name=key_name,
    )

    digest = ed25519.Ed25519PrivateKey.from_private_bytes(decoded_key).sign(
        policy.encode("utf-8")
    )
    signature = base64_encoder(digest)

    signed_url = "{policy}&Signature={signature}/{filename}".format(
        policy=policy, signature=signature, filename=filename
    )

    return signed_url

必須の署名フィールド

すべての署名に次のフィールドが必要です。

Expires
KeyName
Signature

クエリパラメータが存在する場合は、URL の最後のパラメータとしてグループ化する必要があります。特に指定のない限り、パラメータ名とその値では大文字と小文字が区別されます。

次の表に、各パラメータの説明を示します。

フィールド名	署名パラメータ	署名付きの値
`Expires`	Unix エポックからの整数の経過秒数（1970-01-01T00:00:00Z）	`Expires=EXPIRATION_TIME`。その後、署名は無効になります。
`KeyName`	このリクエストの署名に使用された `EdgeCacheKeyset` の名前。`KeyName` は、キーセット自体の個々のキーではなく、キーセット全体を指します。	`KeyName=EDGE_CACHE_KEYSET`
`Signature`	Base64 でエンコードされた署名のバージョン。	該当なし

オプションの署名フィールド

次の表に、各パラメータの名前とオプションの署名パラメータの詳細を示します。

フィールド名	署名パラメータ	署名付きの値
`HeaderName`	リクエスト内に存在する必要がある名前付きのリクエストヘッダーフィールド名。ヘッダーフィールド名では大文字と小文字が区別されるため、署名する場合は小文字にする必要があります。Media CDN は、署名を検証する前にヘッダーを小文字にします。	`HeaderName=HEADER_NAME`
`HeaderValue`	リクエスト内に存在する必要がある名前付きのリクエストヘッダーフィールドの値。通常、ユーザー ID やその他の不透明な識別子です。`HeaderValue` が指定され、`HeaderName` が指定されていないリクエストは拒否されます。	`HeaderValue=HEADER_VALUE`
`IPRanges`	この URL がウェブセーフな Base64 形式で有効になる、最大 5 つの IPv4 アドレスと IPv6 アドレスの CIDR 形式のリスト。たとえば、IP 範囲「192.6.13.13/32,193.5.64.135/32」を指定するには、`IPRanges=MTkyLjYuMTMuMTMvMzIsMTkzLjUuNjQuMTM1LzMy` を指定します。クライアントが WAN 移行の危険にさらされている場合や、アプリケーションフロントエンドへのネットワークパスが配信パスと異なる場合は、IPRanges を署名に含めることは役に立ちません。署名付きリクエストに含まれていない IP アドレスに接続すると、Media CDN は `HTTP 403` コードを持つクライアントを拒否します。以下のような場合、Media CDN は `HTTP 403` コードを持つクライアントを拒否します。デュアルスタック（IPv4、IPv6）環境接続の移行（Wi-Fi からモバイル、モバイルから Wi-Fi）キャリアゲートウェイ NAT（CGNAT または CGN）を使用するモバイルネットワークマルチパス TCP（MPTCP）これらすべての要因は、動画再生セッション中に特定のクライアントが非確定的な IP アドレスを持つ原因となる可能性があります。アクセスの発行後にクライアント IP アドレスが変更され、クライアントが動画セグメントを再生バッファにダウンロードしようとすると、Media CDN から `HTTP 403` を受信します。	`IPRanges=BASE_64_IP_RANGES`
`URLPrefix`	アクセスを許可する Base64（URL セーフ）URL 接頭辞。`URLPrefix` を指定すると、接頭辞に署名して、プレーヤーまたはマニフェスト生成内の複数の URL に同じクエリパラメータを追加できます。署名付き Cookie 形式を使用する場合、`URLPrefix` が必要です。	`URLPrefix=BASE_64_URL_PREFIX`

署名を生成する

サポートされている署名形式

署名の作成

署名付き URL を作成する

Go

Python

署名付き URL 接頭辞を作成する

Go

Python

署名付き URL Cookie を作成する

Go

Python

署名付きパス コンポーネントを作成する

Python

必須の署名フィールド

オプションの署名フィールド

署名付きパスコンポーネントを作成する