本页介绍了如何使用 Amazon Simple Storage Service (Amazon S3) 和 AWS 签名版本 4将媒体 CDN 连接到私有 Amazon S3 兼容存储分区。 媒体 CDN 不支持 AWS 签名版本 4a。
媒体 CDN 支持 AWS 签名版本 4 来对来源请求进行身份验证。您可以使用此功能将媒体 CDN 连接到私有 Amazon S3 兼容存储分区,以确保您的内容仅与媒体 CDN 共享。 您还可以启用客户端身份验证,以实现更深层次的防御。 如需了解详情,请参阅使用签名请求。
准备工作
验证您是否拥有以下资源:
遵循命名规则的私有 Amazon S3 存储桶。
用于访问上述私有 Amazon S3 存储桶的专用 AWS IAM 用户账号。确保存储桶向 AWS IAM 用户账号授予
s3:getObject权限。如需详细了解如何 配置对 Amazon S3 存储桶的访问权限,请参阅 Amazon S3 中的身份和访问权限管理。专用 AWS IAM 用户账号的 AWS 访问密钥 ID 和 AWS 私有访问密钥。如需了解详情,请参阅 管理 IAM 用户的访问密钥。
如果您之前未使用过 Secret Manager,请配置 Secret Manager。
为媒体 CDN 创建服务代理
如需为媒体 CDN 创建服务代理,请使用
gcloud beta services identity create 命令。
gcloud
gcloud beta services identity create \
--project PROJECT_ID \
--service=networkservices.googleapis.com
将 PROJECT_ID 替换为您的项目 ID。
如需了解详情,请参阅触发服务代理创建。
在 Secret Manager 中存储访问密钥
按照以下步骤在 Secret Manager 中创建 Secret。
控制台
在 Google Cloud 控制台中,前往 Secret Manager 页面。
在 Secret Manager 页面上,点击创建 Secret 。
在 Secret 详情 部分,完成以下操作:
在名称 字段中,输入 Secret 的名称,例如
aws-access-key-id。在 Secret 值 部分,跳过上传文件 字段。
在 Secret 值 字段中,输入 AWS 私有访问密钥。
跳过其余部分。
点击创建 Secret 。
gcloud
确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。 在 Compute Engine 或 Google Kubernetes Engine (GKE) 上,您必须 使用 cloud-platform 范围进行身份验证。
gcloud secrets create SECRET_NAME \
--replication-policy="automatic" \
--data-file="PATH_TO_AWS_SECRET_ACCESS_KEY"
替换以下内容:
SECRET_NAME:Secret 的名称,例如aws-access-key-idPATH_TO_AWS_SECRET_ACCESS_KEY:AWS 私有访问密钥值的路径
如需了解如何添加 Secret 版本,请参阅 添加 Secret 版本。
授予 Secret Manager Access 角色
按照以下步骤向媒体 CDN 服务账号授予
Secret Manager Secret Accessor 角色
(roles/secretmanager.secretAccessor)。
控制台
在 Google Cloud 控制台中,前往 Secret Manager 页面。
- 选择 Secret。
- 选择权限 ,然后选择授予访问权限 。系统会显示 授予访问权限 对话框。
在添加主账号 部分,在新的主账号 字段中输入媒体 CDN 服务帐号,如下所示:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com将
PROJECT_NUMBER替换为您的 项目编号。- 在分配角色 部分,对于选择角色 ,选择 Secret Manager ,然后选择 Secret Manager Secret Accessor 。
- 点击保存 。
gcloud
gcloud secrets add-iam-policy-binding \
projects/PROJECT_NUMBER/secrets/SECRET_NAME \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
--role="roles/secretmanager.secretAccessor"
替换以下内容:
PROJECT_NUMBER:您的项目编号SECRET_NAME:Secret 的名称
将媒体 CDN 配置为向外部来源存储桶进行身份验证
控制台
在 Google Cloud 控制台中,前往媒体 CDN 页面。
点击来源 标签页。
点击要配置的来源的名称。
系统会打开边缘缓存来源详情 页面。
点击修改 按钮。
对于来源地址,选择指定 FQDN 或 IP 地址,然后 输入 FQDN 或 IP 地址。
在专用来源身份验证 部分中,选择使用 AWS 签名版本 4 对媒体 CDN 针对此来源的请求进行身份验证。
请指定以下信息:
- 密钥 ID:您的 AWS 访问密钥 ID,具有对 来源的读取权限
- 引用 Secret:Secret Manager 中访问密钥的 ID 及其版本。您可以选择现有 ID、手动输入 ID,或创建新 ID 并选择它。
- 区域:Amazon S3 存储桶所在的区域,例如
us-east-1
对于协议 ,选择 HTTPS 。
点击更新来源 。
gcloud
如需将服务的当前配置导出到 YAML 文件,请运行
gcloud edge-cache services export命令:gcloud edge-cache services export SERVICE_NAME \ --destination=FILENAME.yaml替换以下内容:
SERVICE_NAME:媒体 CDN 服务的名称FILENAME:YAML 文件的名称
在 Cloud Shell 中,使用文本编辑器修改 YAML 文件。
更新 YAML 文件,使其包含以下代码行:
name: ORIGIN_NAME originAddress: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" protocol: HTTPS awsV4Authentication: accessKeyId: "AWS_ACCESS_KEY_ID" secretAccessKeyVersion: "projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/SECRET_VERSION" originRegion: "S3_REGION"替换以下内容:
ORIGIN_NAME:您为此来源设置的名称S3_BUCKET_NAME:Amazon S3 存储桶的名称S3_REGION:Amazon S3 存储桶所在的区域,例如us-east-1AWS_ACCESS_KEY_ID:您的 AWS 访问密钥 ID,具有对来源的读取权限PROJECT_NUMBER:您的项目编号SECRET_NAME:Secret Manager 中访问密钥的 IDSECRET_VERSION:要使用的 Secret 版本
为发送到来源的请求配置主机和路径重写。例如,如需映射路径前缀为
/vod/的所有请求,请配置与EdgeCacheService的 YAML 文件中列出的originAddress对应的hostRewrite。以下代码示例展示了如何使用hostRewrite:name: SERVICE_NAME routeRules: - priority: 1 - description: ROUTE_DESCRIPTION origin: ORIGIN_NAME matchRules: - prefixMatch: "/vod/" routeAction: urlRewrite: hostRewrite: "S3_BUCKET_NAME.s3.S3_REGION.amazonaws.com" pathPrefixRewrite: "/" cdnPolicy: cacheMode: CACHE_ALL_STATIC defaultTtl: 3600s将
SERVICE_NAME替换为EdgeCacheService的名称。如需了解详情,请参阅 使用第三方存储后端。
保存 YAML 文件。
如需更新配置,请导入 YAML 文件。
gcloud edge-cache origins import ORIGIN_NAME \ --source=FILENAME.yaml
将媒体 CDN 配置为向外部存储桶进行身份验证后,媒体 CDN 会为发送到标头的所有请求生成 HTTP 授权标头。所有查询参数都会从签名计算和发送到来源的请求中移除。
您的来源可能会将其他标头附加到响应中。如需在向客户端提供客户端之前移除 响应标头, 请参阅设置自定义标头。 如需详细了解如何配置来源,请参阅 来源连接和屏蔽。