Esta página foi traduzida pela API Cloud Translation.

Usar solicitações assinadas

Para criar uma solicitação assinada, crie uma string que inclua parâmetros que descrevam o conteúdo que você quer proteger e o tempo de expiração do valor assinado. Em seguida, inclua a string composta na solicitação. O Media CDN verifica se a solicitação assinada é válida antes de agir.

Requisitos de solicitações assinadas

As solicitações assinadas precisam atender aos seguintes requisitos:

Ter um método HTTP GET, HEAD ou OPTIONS. Outros métodos não são compatíveis.
Ter um tempo de expiração definido no futuro. Devido a possíveis diferenças de sincronização do relógio, bem como condições de rede do cliente (por exemplo, desconexões e novas tentativas), recomendamos definir carimbos de data/hora com até um minuto de antecedência ou não menos do que a duração do stream de vídeo, o que for maior.
Ter uma assinatura que pode ser verificada por uma chave ou um segredo em um EdgeCacheKeyset.

Não é possível assinar outros métodos HTTP, como solicitações POST, PUT ou DELETE. Se você precisar emitir URLs assinados para uploads voltados ao usuário, consulte a documentação do Cloud Storage sobre URLs assinados.

Configurar solicitações assinadas

As seções a seguir detalham como configurar, assinar e validar solicitações assinhadas.

Gerar chaves

Crie as chaves que o Media CDN usa para assinar solicitações.

Criar um conjunto de chaves

Crie o conjunto de chaves que o Media CDN usa para solicitações assinadas.

Exigir solicitações assinadas

Para permitir que apenas solicitações assinadas acessem um recurso, anexe uma lista de chaves a uma rota e defina o signedRequestMode como uma das seguintes opções:

REQUIRE_SIGNATURES para solicitações assinadas que não usam tokens.
REQUIRE_TOKENS para solicitações assinadas usando tokens.

Ativar solicitações assinadas em uma rota exige que todas as solicitações sejam assinadas ou apresentem um token. As solicitações sem uma assinatura válida (como um nome de chave inválido, assinatura ou token expirado, assinatura incompatível etc.) falham.

Um EdgeCacheKeyset pode conter várias chaves para permitir a rotação de chaves. As solicitações válidas assinadas com qualquer chave listada são aceitas, e as chaves são testadas na ordem. Para mais informações sobre a rotação de chaves, consulte Rotação de segredos.

Quando o signedRequestMode é definido como REQUIRE_SIGNATURES ou REQUIRE_TOKENS, o Media CDN valida os acertos e erros de cache. Isso inclui todas as solicitações para a origem.

Confira a seguir um exemplo de configuração do Media CDN que aplica solicitações assinadas em um determinado PathMatcher (rota):

gcloud edge-cache services describe prod-media-service

Saída:

...
  routeAction:
    cdnPolicy:
      cacheMode: CACHE_ALL_STATIC
      signedRequestMode: REQUIRE_SIGNATURES
      signedRequestKeyset: prod-vod-keyset

Para informações sobre como criar tokens para solicitações assinadas, consulte Gerar tokens.

Para desativar a assinatura de solicitações, defina signedRequestMode como DISABLED e exclua a referência a signedRequestKeyset.

Validar solicitações na origem

Quando uma rota é configurada com um modo de assinatura de REQUIRE_SIGNATURES, o Media CDN valida se cada solicitação correspondente tem uma assinatura válida. A falta de uma assinatura é tratada como uma assinatura inválida para essas rotas.

Para evitar casos em que a assinatura está incorretamente configurada e em que um usuário tenta acessar a origem diretamente, recomendamos que você verifique se as solicitações também são assinadas na origem. Uma abordagem de defesa em profundidade para a proteção de conteúdo ajuda a impedir o acesso e o download não autorizados do conteúdo licenciado e pago.

Para métodos de assinatura baseados em URL, em que a assinatura faz parte dos parâmetros de consulta ou está incorporada como um componente de caminho de URL, a assinatura e os parâmetros relacionados são removidos do URL antes que a solicitação seja enviada à origem. Isso evita que a assinatura cause problemas de roteamento quando a origem está processando a solicitação. Para validar essas solicitações, inspecione o cabeçalho de solicitação x-client-request-url, que inclui o URL da solicitação do cliente original (assinado) antes da remoção dos componentes assinados.

Para validar solicitações na origem, use o mesmo código de validação como parte dos endpoints de assinatura de solicitação, o que também ajuda a mitigar incompatibilidades e problemas de chave devido à rotação de chaves.

Alternar chaves

Como prática recomendada, alterne ou atualize os segredos usados pelo Media CDN regularmente. Recomendamos a rotação de chaves a cada 30 a 60 dias, mas isso não é estritamente necessário.

A seguir

Para saber mais sobre como ativar e acessar os registros da Media CDN, incluindo como filtrar e consultar seus registros, consulte Registros.
Para configurar o Media CDN e um bucket privado do Cloud Storage, consulte Conectividade e proteção de origem.