執筆者:Handbook編集部
Cloud CDN で署名付き URL と Cookie を使用する
署名付き URL と Cookie とは?
署名付き URL は、リクエスト時における制限付きの権限と有効期限が設定された URL です。署名付き URL のクエリ文字列には認証情報が含まれているので、認証情報を持たないユーザーでもリソースに対して特定の操作を実行できます。
さらに、署名付き Cookie は、署名付き URL の代わりとなる手段です。アプリケーションでユーザーごとに数十、数百の URL に個別に署名するのが不可能な場合は、署名付き Cookie によってアクセスを保護できます。
署名付き URL と Cookie をセットアップ チュートリアル
まず、Cloud CDN 経由でアクセスするコンテンツを提供するために使用される Cloud Storage Bucket を作成する必要があります。my-test-bucketと名前を付けます。そして、image.jpgという画像をアップロードします。
次に、 「Networking services -> Cloud CDN」ページに移動して、新し origin を作成します。Configuration で、CDN origin にmy-test-cdnという名前を付け、my-test-bucketを選択して新しい Backend Bucket を作成する必要があります。次に、この CDN で動作する新しい Load Balancer を作る必要があります。これはmy-test-lbという名前を付けます。
「Restricted content」で、「Restrict access using signed URLs and signed Cookies」を選択し、「Automatically generate」によって新しい署名キーを追加し、後で使用するためにコピーする必要があります。
次に、次のコマンドでmy-test-bucketの読み取り権限を CDN サービス アカウントに追加する必要があります。
gsutil iam ch \
serviceAccount:service-PROJECT_NUM@cloud-cdn-fill.iam.gserviceaccount.com:objectViewer \
gs://my-test-bucket
PROJECT_NUM を今のプロジェクトの Project Number に置き換える必要があります。これはコマンド gcloud projects list で確認することができます。
署名付き URL
次のコマンドを使用して、署名付き URL を取得できます。
gcloud compute sign-url \
"URL" \
--key-name my-signing-key \
--key-file LOCAL_FILE_FOR_MY_SIGNING_KEY.txt \
--expires-in 30m \
[--validate]
上記のコマンドでは、Cloud CDN フロントエンド IP + オブジェクト キーとして URL を置き換えます。そして、前のステップに生成された署名キーをローカル ファイル LOCAL_FILE_FOR_MY_SIGNING_KEY.txt に保存する必要があります。
次に、次のような署名付き URL を取得できます。
signedUrl: http://35.190.25.136/penpen.jpeg?Expires=1675133126&KeyName=my-signing-key&Signature=HDeiLMI057ZEXZg94QqV1PTEDuE=
次の方法でmy-test-bucketのオブジェクトにアクセスできます。
curl -I http://35.190.25.136/penpen.jpeg?Expires=1675133126&KeyName=my-signing-key&Signature=HDeiLMI057ZEXZg94QqV1PTEDuE=
署名付き Cookie
次のプログラムを使用して、署名付き Cookie を生成できます。url_prefix はCloud CDN フロントエンド IP + Bucket Prefix。base64_key は以前に生成された署名キーです。
def sign_cookie(url_prefix, key_name, base64_key, expiration_time):
"""Gets the Signed cookie value for the specified URL prefix and configuration.
Args:
url_prefix: URL prefix to sign as a string.
key_name: name of the signing key as a string.
base64_key: signing key as a base64 encoded string.
expiration_time: expiration time as a UTC datetime object.
Returns:
Returns the Cloud-CDN-Cookie value based on the specified configuration.
"""
encoded_url_prefix = base64.urlsafe_b64encode(
url_prefix.strip().encode('utf-8')).decode('utf-8')
epoch = datetime.datetime.utcfromtimestamp(0)
expiration_timestamp = int((expiration_time - epoch).total_seconds())
decoded_key = base64.urlsafe_b64decode(base64_key)
policy_pattern = u'URLPrefix={encoded_url_prefix}:Expires={expires}:KeyName={key_name}'
policy = policy_pattern.format(
encoded_url_prefix=encoded_url_prefix,
expires=expiration_timestamp,
key_name=key_name)
digest = hmac.new(
decoded_key, policy.encode('utf-8'), hashlib.sha1).digest()
signature = base64.urlsafe_b64encode(digest).decode('utf-8')
signed_policy = u'Cloud-CDN-Cookie={policy}:Signature={signature}'.format(
policy=policy, signature=signature)
print(signed_policy)
次のような Cookie を生成します。
Cloud-CDN-Cookie=URLPrefix=aHR0cDovLzM1LjE5MC4yNS4xMzYv:Expires=1675263115:KeyName=my-signing-key:Signature=AFDo2N09K_7m0cEAN7HRU-TDGqA=
この Cookie を使用して、プレフィックス内のオブジェクトにアクセスできます。
curl --cookie "Cloud-CDN-Cookie=URLPrefix=aHR0cDovLzM1LjE5MC4yNS4xMzYv:Expires=1675263115:KeyName=my-signing-key:Signature=AFDo2N09K_7m0cEAN7HRU-TDGqA=" http://35.190.25.136/penpen.jpeg
Reference
Hakky ではエンジニアを募集中です!まずは話してみたいなどでも構いませんので、ぜひお気軽に採用ページからお問い合わせくださいませ。
