Menggunakan bucket pribadi yang kompatibel dengan Amazon S3 sebagai origin

Halaman ini menjelaskan cara menghubungkan Media CDN ke bucket pribadi yang kompatibel dengan Amazon S3 menggunakan Amazon Simple Storage Service (Amazon S3) dan AWS Signature Version 4. Media CDN tidak mendukung AWS Signature Version 4a.

Media CDN mendukung AWS Signature Version 4 untuk mengautentikasi permintaan origin. Anda dapat menggunakan fitur ini untuk menghubungkan Media CDN ke bucket pribadi yang kompatibel dengan Amazon S3 untuk memastikan bahwa konten Anda hanya dibagikan ke Media CDN. Anda juga dapat mengaktifkan autentikasi klien untuk pertahanan yang lebih mendalam. Untuk mengetahui informasi selengkapnya, lihat Menggunakan permintaan yang ditandatangani.

Sebelum memulai

Pastikan Anda memiliki resource berikut:

  • Bucket Amazon S3 pribadi yang mengikuti aturan penamaan.

  • Akun pengguna AWS IAM khusus untuk mengakses bucket Amazon S3 pribadi di atas. Pastikan bucket memberikan izin s3:getObject kepada akun pengguna AWS IAM. Untuk informasi selengkapnya tentang mengonfigurasi akses ke bucket Amazon S3 Anda, lihat Pengelolaan identitas dan akses di Amazon S3.

  • ID kunci akses AWS dan kunci akses rahasia AWS untuk akun pengguna IAM AWS khusus. Untuk mengetahui informasi selengkapnya, lihat Mengelola kunci akses untuk pengguna IAM.

  • Jika Anda belum pernah menggunakan Secret Manager, konfigurasi Secret Manager.

Membuat agen layanan untuk Media CDN

Untuk membuat agen layanan Media CDN, gunakan perintah gcloud beta services identity create.

gcloud 

gcloud beta services identity create \
    --project PROJECT_ID \
    --service=networkservices.googleapis.com

Ganti PROJECT_ID dengan project ID Anda.

Untuk mengetahui informasi selengkapnya, lihat Memicu pembuatan agen layanan.

Menyimpan kunci akses di Secret Manager

Ikuti langkah-langkah berikut untuk membuat secret di Secret Manager.

Konsol

  1. Di konsol Google Cloud , buka halaman Secret Manager.

    Buka Secret Manager

  2. Di halaman Secret Manager, klik Buat secret.

  3. Di bagian Secret details, selesaikan langkah-langkah berikut:

    1. Di kolom Name, masukkan nama untuk secret—misalnya aws-access-key-id.

    2. Di bagian Nilai rahasia, lewati kolom Upload file.

    3. Di kolom Secret value, masukkan kunci akses rahasia AWS.

  4. Lewati bagian yang tersisa.

  5. Klik Create secret.

gcloud

Pastikan Anda menggunakan Google Cloud CLI versi 402.0.0 atau yang lebih baru. Di Compute Engine atau Google Kubernetes Engine (GKE), Anda harus melakukan autentikasi dengan cakupan cloud-platform.

gcloud secrets create SECRET_NAME \
    --replication-policy="automatic" \
    --data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"

Ganti kode berikut:

  • SECRET_NAME: nama untuk secret Anda, seperti aws-access-key-id
  • PATH_TO_AWS_SECRET_ACCESS_KEY: jalur ke nilai kunci akses rahasia AWS Anda

Untuk mengetahui informasi tentang cara menambahkan versi secret, lihat Menambahkan versi secret.

Memberikan peran Secret Manager Access

Ikuti langkah-langkah berikut untuk memberikan peran Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) ke akun layanan Media CDN.

Konsol

  1. Di konsol Google Cloud , buka halaman Secret Manager.

    Buka Secret Manager

  2. Pilih secret.
  3. Pilih Izin, lalu pilih Berikan akses. Dialog Berikan akses akan muncul.

  4. Di bagian Add principals, masukkan akun layanan Media CDN di kolom New principals sebagai berikut:
    service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

    Ganti PROJECT_NUMBER dengan nomor project Anda.

  5. Di bagian Tetapkan peran, untuk Pilih peran, pilih Secret Manager, lalu pilih Secret Manager Secret Accessor.
  6. Klik Simpan.

gcloud 

gcloud secrets add-iam-policy-binding \
projects/PROJECT_NUMBER/secrets/SECRET_NAME \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
    --role="roles/secretmanager.secretAccessor"

Ganti kode berikut:

  • PROJECT_NUMBER: nomor project Anda
  • SECRET_NAME: nama untuk secret Anda

Mengonfigurasi Media CDN untuk melakukan autentikasi ke bucket origin eksternal Anda

Konsol

  1. Di Konsol Google Cloud , buka halaman Media CDN.

    Buka Media CDN

  2. Klik tab Asal.

  3. Klik nama origin yang ingin Anda konfigurasi.

    Halaman Edge Cache origin details akan terbuka.

  4. Klik tombol Edit.

  5. Untuk Alamat asal, pilih Tentukan FQDN atau alamat IP, lalu masukkan FQDN atau alamat IP.

  6. Di bagian Private origin authentication, pilih Authenticate Media CDN's request to this origin with AWS signature version 4.

  7. Tentukan informasi berikut:

    • Key ID: ID kunci akses AWS Anda dengan izin baca ke asal Anda
    • Merujuk rahasia: ID kunci akses Anda di Secret Manager dan versinya. Anda dapat memilih ID yang ada, memasukkan ID secara manual, atau membuat ID baru dan memilihnya.
    • Region: region tempat bucket Amazon S3 Anda berada, seperti us-east-1

  8. Untuk Protocol, pilih HTTPS.

  9. Klik Perbarui origin.

gcloud

  1. Untuk mengekspor konfigurasi layanan Anda saat ini ke file YAML, jalankan perintah gcloud edge-cache services export:

    gcloud edge-cache services export SERVICE_NAME \
    --destination=FILENAME.yaml

    Ganti kode berikut:

    • SERVICE_NAME: nama layanan Media CDN
    • FILENAME: nama file YAML

  2. Di Cloud Shell, gunakan editor teks untuk mengedit file YAML.

  3. Perbarui file YAML sehingga memiliki baris berikut:

    name: ORIGIN_NAME
originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com"
protocol: HTTPS
awsV4Authentication:
  accessKeyId: "AWS_ACCESS_KEY_ID"
  secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION"
  originRegion: "S3_REGION"

    Ganti kode berikut:

    • ORIGIN_NAME: nama yang Anda tetapkan untuk origin ini
    • S3_BUCKET_NAME: nama bucket Amazon S3 Anda
    • S3_REGION: region tempat bucket Amazon S3 Anda berada, seperti us-east-1
    • AWS_ACCESS_KEY_ID: ID kunci akses AWS Anda dengan izin baca ke origin Anda
    • PROJECT_NUMBER: nomor project Anda
    • SECRET_NAME: ID kunci akses Anda di Secret Manager
    • SECRET_VERSION: versi secret yang akan digunakan

  4. Konfigurasi penulisan ulang host dan jalur untuk permintaan ke origin Anda. Misalnya, untuk memetakan semua permintaan dengan awalan jalur /vod/, konfigurasikan hostRewrite yang sesuai dengan originAddress yang tercantum dalam file YAML EdgeCacheService. Contoh kode berikut menunjukkan cara menggunakan hostRewrite:

    name: SERVICE_NAME
routeRules:
  - priority: 1
  - description: ROUTE_DESCRIPTION
    origin: ORIGIN_NAME
    matchRules:
    - prefixMatch: "/vod/"
    routeAction:
      urlRewrite:
        hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com"
        pathPrefixRewrite: "/"
      cdnPolicy:
        cacheMode: CACHE_ALL_STATIC
        defaultTtl: 3600s

    Ganti SERVICE_NAME dengan nama EdgeCacheService Anda.

    Untuk mengetahui informasi selengkapnya, lihat Menggunakan backend penyimpanan pihak ketiga.

  5. Simpan file YAML.

  6. Untuk memperbarui konfigurasi, impor file YAML.

    gcloud edge-cache origins import ORIGIN_NAME \
    --source=FILENAME.yaml

Setelah Anda mengonfigurasi Media CDN untuk melakukan autentikasi ke bucket eksternal, Media CDN akan membuat header otorisasi HTTP untuk semua permintaan ke header Anda. Semua parameter kueri dihapus dari perhitungan tanda tangan dan permintaan ke asal Anda.

Server asal Anda dapat menambahkan header tambahan ke respons Anda. Untuk menghapus header respons sebelum ditayangkan ke klien, lihat Menetapkan header kustom. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi asal, lihat Konektivitas dan perlindungan asal.