Stellen Sie private Inhalte mit AWS CloudFront bereit

Dieser Artikel ist eine Fortsetzung von Videostream auf AWS S3 + CloudFront.

Zweck

Stellen Sie eine Verbindung mit einer zeitlich begrenzten URL her. (Einmalige URL) Ich möchte die Anzeige auf einen Videostream beschränken und ihn verteilen. (Ich habe es diesmal mit einem Bild versucht) Letztendlich möchte ich das Video mithilfe der Authentifizierung von Plone verteilen. (Herausforderung nach dem nächsten Mal)

S3- und CloudFront-Einstellungen

Erstellen Sie einen neuen Eimer und platzieren Sie ein Testbild. Versuchen Sie, dieses Bild privat zu verbreiten.

S3

--Erstelle einen neuen Bucket (c2-video-test-private)

• Legen Sie das Protokoll fest

• Upload

• Bilddatei "terada_pythonbr.jpg " hochladen

CloundFront

• Holen Sie sich die CloudFront-Zugriffs-ID

• Wechseln Sie zur Web Management Console von IAM
• Holen Sie sich "Neues Schlüsselpaar erstellen" in "CloudFront-Schlüsselpaar" in Details
• Laden Sie private und öffentliche Schlüssel herunter

• CloudFront Origin Wechseln Sie im CloudFront-Webverwaltungsbildschirm von "Privater Inhalt" zu "Origin Access Identity" (Sie können auch später einen erstellen).

• Klicken Sie auf OAI erstellen
• Erstellt durch Einfügen von "OAI für c2-video-test-private" in den Kommentar --Erstellen Sie eine neue "Private Distribution" (für das Web) --Einstellen
• Restrict Bucket Access: Yes
• Origin Access Identity: Use an Existing Identity
• Wählen Sie die aus, die Sie im Voraus für Ihre Identität erstellt haben: (oder Sie können hier eine neue erstellen)
• Grant Read Permissions on Bucket: Yes
• HTTPS Only:Yes
• Restrict Viewer Access: Yes
• Trusted Signers
• Logging: On
• Andere Protokollierungseinstellungen (Bucket und Pfad)

• Domänenname: dn045wcqv2fv4.cloudfront.net

Erstellen Sie eine signierte URL

Lesen Sie das folgende Boto-Element und versuchen Sie, es in der lokalen Python-Umgebung zu erstellen.

Die uneingeschränkte URL sollte lauten:

https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg Es überrascht nicht, dass der Fehler zurück ist.

error.xml

<Error>
  <Code>MissingKey</Code>
  <Message>Missing Key-Pair-Id query parameter</Message>
</Error>

Erstellen Sie eine eingeschränkte URL

(Details der Boto-Beziehungen sind unten beschrieben)

sample.py

ACCESS_KEY_ID = "xxxxxxxxxxxxxxxxx"
SECRET_ACCESS_KEY = "xxxxxxxxxxxxxxxxxxxxxxxxxx"
YOUR_KEYPAIR_ID = "xxxxxxxxxxxxxx"
YOUR_PRIVATE_KEY_FILE_LOCATION = "xxxxxxxxxxxxxxxxxxxxx.pem"
url = "https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg "
expire_time = int(time.time() +3600)

conn = CloudFrontConnection(ACCESS_KEY_ID, SECRET_ACCESS_KEY)
distribution = Distribution(connection=conn, config=None, domain_name='', id='', last_modified_time=None, status='')

signed_url = distribution.create_signed_url(url=url, keypair_id=YOUR_KEYPAIR_ID, expire_time=expire_time, private_key_file=YOUR_PRIVATE_KEY_FILE_LOCATION)

>>> print signed_url
https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg?Expires=1406023941&Signature=Ihps3u0~jQ-Twkghg2tqQ-dTMEZoRC-Jb13F4FgNe~1MVAsXQ-yAbXtEKSTsIhN6OLZmuUii6E1xs7nWfe-76SGk26Jmx5edd35EgwQ8mH~2XlY4QOqP1Fgza93q02oQNhJWte1mef4tc8p3fJO6yzebpTEh4MqvQOt9s5bcKq9ad8EGSmfXfUlgL6b87z6TOAXVFQuIotttu6ajlfbCpplIUD-~r-6W~SB6n2dyB8SaoKgJBTkEKJwFiBWx2S5M20-06hsLOeV23UBJcuq6~C-pE1r1ViE8Ia-tM8L6v7zcbtLfOdw9lgFzYoMoh-KiWOAdz7pc-koYMVPXZ-9DuQ__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ

Zugriffstest mit Browser

https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg?Expires=1406023941&Signature=Ihps3u0~jQ-Twkghg2tqQ-dTMEZoRC-Jb13F4FgNe~1MVAsXQ-yAbXtEKSTsIhN6OLZmuUii6E1xs7nWfe-76SGk26Jmx5edd35EgwQ8mH~2XlY4QOqP1Fgza93q02oQNhJWte1mef4tc8p3fJO6yzebpTEh4MqvQOt9s5bcKq9ad8EGSmfXfUlgL6b87z6TOAXVFQuIotttu6ajlfbCpplIUD-~r-6W~SB6n2dyB8SaoKgJBTkEKJwFiBWx2S5M20-06hsLOeV23UBJcuq6~C-pE1r1ViE8Ia-tM8L6v7zcbtLfOdw9lgFzYoMoh-KiWOAdz7pc-koYMVPXZ-9DuQ__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ

Ich konnte auf den 22.07.2014 18:14 zugreifen. 22.07.2014 Es sollte nicht um 19:15 Uhr zugänglich sein

boto

boto ist ein Python-Modul, das AWS-APIs manipuliert. Früher war es bei Amazon inoffiziell, aber jetzt, da die Entwickler zu Amazon gehören sollten, sollte es halboffiziell sein.

Vorbereitungen

$ pip install rsa
$ pip install boto

So erhalten Sie eine signierte URL

Die Erklärung war unten. http://boto.readthedocs.org/en/latest/ref/cloudfront.html

create_signed_url(url, keypair_id, expire_time=None, valid_after_time=None, ip_address=None, policy_url=None, private_key_file=None, private_key_string=None)

• url (str)
• keypair_id (str)
• expire_time (int)
• valid_after_time (int)
• ip_address (str)
• policy_url (str)
• private_key_file (str or file object.)
• private_key_string (str)

Unten war ein Beispiel

http://stackoverflow.com/questions/2573919/creating-signed-urls-for-amazon-cloudfront

import boto
from boto.cloudfront import CloudFrontConnection
from boto.cloudfront.distribution import Distribution

expire_time = int(time.time() +3000)
conn = CloudFrontConnection('ACCESS_KEY_ID', 'SECRET_ACCESS_KEY')

##enter the id or domain name to select a distribution
distribution = Distribution(connection=conn, config=None, domain_name='', id='', last_modified_time=None, status='')
signed_url = distribution.create_signed_url(url='YOUR_URL', keypair_id='YOUR_KEYPAIR_ID_example-APKAIAZVIO4BQ',expire_time=expire_time,private_key_file="YOUR_PRIVATE_KEY_FILE_LOCATION")

URL, auf die während der Umfrage verwiesen wird

• [AWS Meister Series] Verteilung von Inhalten durch Amazon CloudFront / Amazon Elastic Transcoder http://www.slideshare.net/AmazonWebServicesJapan/20131120-aws-medisterregeneratecloudfrontetspublic Es gibt eine Erklärung zu P29

• Zugriff auf private Inhalte mit Amazon CloudFront Teil 1 http://dev.classmethod.jp/etc/amazon-cloudfront-private-contents-access-1/ Auf der AWS-Verwaltungskonsole befindet sich ein Handbuch in englischer Sprache. Derzeit können anscheinend alle Vorgänge über die Webverwaltungskonsole ausgeführt werden.

• Code and Examples for Creating a Signature for a Signed URL http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateCFSignatureCodeAndExamples.html Es gibt keine Informationen zu Python, aber es scheint hilfreich zu sein

Versuchen Sie es mit einem Video

Stellen Sie sicher, dass das Obige dem Videostream entspricht, der auf TODO eingestellt wurde

Vorbereitung

--C2-video-test-private Videoordner zum Bucket hinzufügen

• PyConAPACTW2014terada.mp4 zum Videoordner hinzugefügt
• Stream-fähige Verteilung zu CloudFront hinzugefügt

• Wählen Sie beim Erstellen RTMP
• Origin Domain Name : c2-video-test-private
• Restrict Bucket Access: Yes
• Origin Access Identity: Use an Existing Identity
• Wählen Sie eine vorgefertigte Version Ihrer Identität: (OAI für c2-video-test-private)
• Grant Read Permissions on Bucket: Yes
• Restrict Viewer Access: Yes
• Trusted Signers: Self
• Logging: On
• Andere Protokollierungseinstellungen (Bucket und Pfad)

Bis zu diesem Punkt sollte es einfach sein, die Vergangenheit zu überprüfen.

Erstellen Sie eine signierte URL

Arbeiten Sie mit boto wie oben

• url = "rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4"
• policy_url = "video/*" Ein Platzhalter ist angegeben. ** Für rtmp ** Schreibe nur PATH wie oben (Schreiben von rtpm: // funktioniert nicht <Ich war ein paar Tage lang süchtig danach)

>>> url = "rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4"
>>> policy_url = "video/*"
>>> signed_url = distribution.create_signed_url(url=url, keypair_id=YOUR_KEYPAIR_ID, expire_time=expire_time, private_key_file=YOUR_PRIVATE_KEY_FILE_LOCATION, policy_url=policy_url)
>>> print signed_url
rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4?Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoidmlkZW8vKiIsIkNvbmRpdGlvbiI6eyJEYXRlTGVzc1RoYW4iOnsiQVdTOkVwb2NoVGltZSI6MTQwNjg5OTIwMX19fV19&Signature=m10lfH4vpepAWVNLCGO9xr~TFs-ZCUklra-I4D6WZvqO3aHhijIbtPQOiK00BPZzTxnu-enkvTuao1aDoP~HSONzF5xIqGqMuP4RYJ-B0~g5iQxvac1VVkb~3lZXMRN3Oz45BsrRWQawyXp1o~0M9sFr~zIVQAbM8aAji1WmTu0~fY0UcfgO74DNevYw4-I4S8S2KLnSimFGeU0bz3b8bXtgxketPz0JhTyM4akK8gD7xWjskrxFOZ4pskCaLvJr3Pyb9pJsqQ9T2izNsPs0Ms5pi94FnOdyejSRWezqrxp00KNttnlc3DGCOcmcCNDNYdIMxmNC6MuAfQKx~a1tig__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ

Vorlage für die Videoanzeige

Machen Sie den src-Teil zu einer signierten URL.

<source src="rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4?Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoidmlkZW8vKiIsIkNvbmRpdGlvbiI6eyJEYXRlTGVzc1RoYW4iOnsiQVdTOkVwb2NoVGltZSI6MTQwNjg5OTIwMX19fV19&Signature=m10lfH4vpepAWVNLCGO9xr~TFs-ZCUklra-I4D6WZvqO3aHhijIbtPQOiK00BPZzTxnu-enkvTuao1aDoP~HSONzF5xIqGqMuP4RYJ-B0~g5iQxvac1VVkb~3lZXMRN3Oz45BsrRWQawyXp1o~0M9sFr~zIVQAbM8aAji1WmTu0~fY0UcfgO74DNevYw4-I4S8S2KLnSimFGeU0bz3b8bXtgxketPz0JhTyM4akK8gD7xWjskrxFOZ4pskCaLvJr3Pyb9pJsqQ9T2izNsPs0Ms5pi94FnOdyejSRWezqrxp00KNttnlc3DGCOcmcCNDNYdIMxmNC6MuAfQKx~a1tig__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ"
                 type='rtmp/mp4' />

Testseite

Ich denke, dass die Anzeigefrist bereits abgelaufen ist, aber ich habe bestätigt, dass Sie sie unten sehen können http://c2-video-test.s3-website-ap-northeast-1.amazonaws.com/index2.html

TODO ab dem nächsten Mal

• Ich möchte die Anzeige auf den Videostream beschränken und ihn verteilen. -> 20140801 Beschrieben im obigen Punkt "Mit Video versuchen".
• Untersuchen, was mit HLS für iOS passiert-> http://qiita.com/terapyon/items/fadecf13ed1d11dcd34d ―― Schließlich möchte ich das Video mithilfe der Plone-Authentifizierung verteilen.

Autorenbezogene Blog-Artikel

Verteilung privater Inhalte mit AWS CloudFront