Cette page a été traduite par l'API Cloud Translation.

Utiliser des requêtes signées

Pour créer une requête signée, composez une chaîne qui inclut des paramètres décrivant le contenu que vous souhaitez protéger et le délai d'expiration de la valeur signée. Vous incluez ensuite la chaîne composée dans votre requête. Media CDN vérifie ensuite que votre requête signée est valide avant de la traiter.

Exigences concernant les requêtes signées

Les requêtes signées doivent répondre aux exigences suivantes :

Utiliser une méthode HTTP GET, HEAD ou OPTIONS. Les autres méthodes ne sont pas acceptées.
avoir un délai d'expiration défini dans le futur ; En raison d'une horloge potentielle de synchronisation, ainsi que les conditions du réseau client (par (déconnexions et nouvelles tentatives, par exemple), nous vous recommandons de ne pas définir moins d'une minute dans le futur, ou au moins la durée de la flux vidéo, selon la valeur la plus élevée.
disposer d'une signature pouvant être validée par une clé ou un secret dans un EdgeCacheKeyset ;

Vous ne pouvez pas signer d'autres méthodes HTTP, telles que les requêtes POST, PUT ou DELETE. Si vous devez émettre des URL signées pour les importations destinées aux utilisateurs, consultez la documentation Cloud Storage sur les URL signées.

Configurer des requêtes signées

Les sections suivantes expliquent comment configurer, signer et valider des requêtes signées.

Générer des clés

Créez les clés que Media CDN utilise pour signer requêtes.

Créer une collection de clés

Créez la collection de clés utilisée par Media CDN. pour les requêtes signées.

Exiger des requêtes signées

Pour n'autoriser que les requêtes signées à accéder à une ressource, vous pouvez associer une liste de clés à un routage et définir signedRequestMode sur l'un des éléments suivants :

REQUIRE_SIGNATURES pour les requêtes signées n'utilisant pas de jetons.
REQUIRE_TOKENS pour les requêtes signées utilisant des jetons.

L'activation des requêtes signées sur un parcours garantit que toutes les requêtes sont signées ou présentent un jeton. Les requêtes sans signature valide (nom de clé non valide, signature ou jeton expirés, signature non correspondante, etc.) échouent.

Un EdgeCacheKeyset peut contenir plusieurs clés pour permettre la rotation des clés. Les requêtes valides signées avec l'une des clés listées sont acceptées, et les clés sont essayées dans l'ordre. Pour en savoir plus sur la rotation des clés, consultez la page Effectuer une rotation secrets.

Lorsque signedRequestMode est défini sur REQUIRE_SIGNATURES ou REQUIRE_TOKENS, Media CDN valide à la fois les éventuelles correspondances et les échecs de mise en cache. Cela inclut tous les les requêtes à l'origine.

Voici un exemple de configuration Media CDN qui applique les requêtes signées sur une route PathMatcher donnée :

gcloud edge-cache services describe prod-media-service

Résultat :

...
  routeAction:
    cdnPolicy:
      cacheMode: CACHE_ALL_STATIC
      signedRequestMode: REQUIRE_SIGNATURES
      signedRequestKeyset: prod-vod-keyset

Pour plus d'informations sur la création de jetons pour des requêtes signées, consultez la section Générer les jetons.

Pour désactiver la signature des requêtes, vous pouvez définir signedRequestMode sur DISABLED et supprimez la référence à signedRequestKeyset.

Valider les requêtes à l'origine

Lorsqu'une route est configurée avec un mode de signature REQUIRE_SIGNATURES, Media CDN vérifie que chaque requête correspondante dispose d'une signature valide. L'absence de signature est considérée comme une signature non valide pour ces routes.

Pour éviter les cas de signature mal configurée et où un utilisateur tente d'accéder directement à votre origine, nous vous recommandons de vérifier que les requêtes sont également signées à l'origine. Une défense en profondeur de la protection du contenu permet d'éviter les accès et les téléchargements non autorisés de vos contenus payants et sous licence.

Pour les méthodes de signature basées sur l'URL, lorsque la signature fait partie des paramètres de requête ou est intégrée en tant que composant de chemin d'URL, la signature et les paramètres associés sont supprimés de l'URL avant que la requête ne soit envoyée à l'origine. Cela évite que la signature ne provoque des problèmes de routage lorsque l'origine gère la requête. Pour valider ces requêtes, vous pouvez inspecter En-tête de requête x-client-request-url, qui inclut l'original (signé) l'URL de requête du client avant la suppression des composants signés.

Pour valider les requêtes à l'origine, utilisez le même code de validation dans le cadre vos points de terminaison pour la signature de vos requêtes, ce qui permet également de limiter la non-concordance des clés liés à la rotation des clés.

Rotation des clés

Il est recommandé d'alterner ou de mettre à jour régulièrement les secrets utilisés par Media CDN. Nous recommandons d'alterner les clés toutes les 30 à 60 jours, mais ce n'est pas strictement obligatoire.

Étape suivante

Pour en savoir plus sur l'activation et l'accès aux journaux Media CDN, y compris sur le filtrage et les requêtes dans vos journaux, consultez la section Journalisation.
Pour configurer Media CDN et un bucket Cloud Storage privé, consultez la section Connectivité et protection des origines.