Diffusez du contenu privé avec AWS CloudFront

Cet article fait suite à [Video Stream on AWS S3 + CloudFront](http://qiita.com/terapyon/items/b77ac981da790662e247 «Video Stream on AWS S3 + CloudFront»).

Objectif

Connectez-vous avec une URL limitée dans le temps. (URL unique) Je souhaite limiter la visualisation à un flux vidéo et le distribuer. (Je l'ai essayé avec une image cette fois) En fin de compte, je souhaite distribuer la vidéo en utilisant l'authentification de Plone. (Défi après la prochaine fois)

Paramètres S3 et CloudFront

Créez un nouveau bucket et placez une image d'essai. Essayez de diffuser cette image en privé.

S3

--Créer un nouveau bucket (c2-video-test-private)

• Définissez le journal

• Upload

• Téléchargez le fichier image "terada_pythonbr.jpg "

CloundFront

--Obtenir l'ID d'accès CloudFront

• Accédez à la console de gestion Web d'IAM
• Obtenez "Créer une nouvelle paire de clés" dans "Paire de clés CloudFront" dans les détails
• Télécharger les clés privées et publiques

• CloudFront Origin Sur l'écran d'administration Web CloudFront, passez de «Contenu privé» à «Identité d'accès à l'origine» (vous pouvez également en créer un plus tard)

• Cliquez sur Créer OAI
• Créé en mettant "OAI pour c2-video-test-private" dans le commentaire --Créer une nouvelle «distribution privée» (pour le Web) --Ensemble
• Restrict Bucket Access: Yes
• Origin Access Identity: Use an Existing Identity
• Sélectionnez celle que vous avez créée à l'avance pour vos identités: (ou vous pouvez en créer une nouvelle ici)
• Grant Read Permissions on Bucket: Yes
• HTTPS Only:Yes
• Restrict Viewer Access: Yes
• Trusted Signers
• Logging: On
• Autres paramètres de journalisation (seau et chemin) --Nom du domaine: dn045wcqv2fv4.cloudfront.net

Créer une URL signée

Reportez-vous à l'élément boto suivant et essayez de le créer dans l'environnement Python local.

L'URL sans restriction doit être:

https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg Sans surprise, l'erreur est de retour.

error.xml

<Error>
  <Code>MissingKey</Code>
  <Message>Missing Key-Pair-Id query parameter</Message>
</Error>

Créer une URL restreinte

(Les détails des relations boto sont décrits en bas)

sample.py

ACCESS_KEY_ID = "xxxxxxxxxxxxxxxxx"
SECRET_ACCESS_KEY = "xxxxxxxxxxxxxxxxxxxxxxxxxx"
YOUR_KEYPAIR_ID = "xxxxxxxxxxxxxx"
YOUR_PRIVATE_KEY_FILE_LOCATION = "xxxxxxxxxxxxxxxxxxxxx.pem"
url = "https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg "
expire_time = int(time.time() +3600)

conn = CloudFrontConnection(ACCESS_KEY_ID, SECRET_ACCESS_KEY)
distribution = Distribution(connection=conn, config=None, domain_name='', id='', last_modified_time=None, status='')

signed_url = distribution.create_signed_url(url=url, keypair_id=YOUR_KEYPAIR_ID, expire_time=expire_time, private_key_file=YOUR_PRIVATE_KEY_FILE_LOCATION)

>>> print signed_url
https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg?Expires=1406023941&Signature=Ihps3u0~jQ-Twkghg2tqQ-dTMEZoRC-Jb13F4FgNe~1MVAsXQ-yAbXtEKSTsIhN6OLZmuUii6E1xs7nWfe-76SGk26Jmx5edd35EgwQ8mH~2XlY4QOqP1Fgza93q02oQNhJWte1mef4tc8p3fJO6yzebpTEh4MqvQOt9s5bcKq9ad8EGSmfXfUlgL6b87z6TOAXVFQuIotttu6ajlfbCpplIUD-~r-6W~SB6n2dyB8SaoKgJBTkEKJwFiBWx2S5M20-06hsLOeV23UBJcuq6~C-pE1r1ViE8Ia-tM8L6v7zcbtLfOdw9lgFzYoMoh-KiWOAdz7pc-koYMVPXZ-9DuQ__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ

Test d'accès avec navigateur

https://dn045wcqv2fv4.cloudfront.net/terada_pythonbr.jpg?Expires=1406023941&Signature=Ihps3u0~jQ-Twkghg2tqQ-dTMEZoRC-Jb13F4FgNe~1MVAsXQ-yAbXtEKSTsIhN6OLZmuUii6E1xs7nWfe-76SGk26Jmx5edd35EgwQ8mH~2XlY4QOqP1Fgza93q02oQNhJWte1mef4tc8p3fJO6yzebpTEh4MqvQOt9s5bcKq9ad8EGSmfXfUlgL6b87z6TOAXVFQuIotttu6ajlfbCpplIUD-~r-6W~SB6n2dyB8SaoKgJBTkEKJwFiBWx2S5M20-06hsLOeV23UBJcuq6~C-pE1r1ViE8Ia-tM8L6v7zcbtLfOdw9lgFzYoMoh-KiWOAdz7pc-koYMVPXZ-9DuQ__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ

J'ai pu accéder le 22/07/2014 à 18:14. 2014/07/22 Il ne devrait pas être accessible à 19:15

boto

boto est un module Python qui manipule les API AWS. Auparavant, cela n'était pas officiel sur Amazon, mais maintenant que les développeurs devraient appartenir à Amazon, cela devrait être semi-officiel.

Préparation préalable

$ pip install rsa
$ pip install boto

Comment obtenir une URL signée

L'explication était ci-dessous. http://boto.readthedocs.org/en/latest/ref/cloudfront.html

create_signed_url(url, keypair_id, expire_time=None, valid_after_time=None, ip_address=None, policy_url=None, private_key_file=None, private_key_string=None)

• url (str)
• keypair_id (str)
• expire_time (int)
• valid_after_time (int)
• ip_address (str)
• policy_url (str)
• private_key_file (str or file object.)
• private_key_string (str)

Ci-dessous un échantillon

http://stackoverflow.com/questions/2573919/creating-signed-urls-for-amazon-cloudfront

import boto
from boto.cloudfront import CloudFrontConnection
from boto.cloudfront.distribution import Distribution

expire_time = int(time.time() +3000)
conn = CloudFrontConnection('ACCESS_KEY_ID', 'SECRET_ACCESS_KEY')

##enter the id or domain name to select a distribution
distribution = Distribution(connection=conn, config=None, domain_name='', id='', last_modified_time=None, status='')
signed_url = distribution.create_signed_url(url='YOUR_URL', keypair_id='YOUR_KEYPAIR_ID_example-APKAIAZVIO4BQ',expire_time=expire_time,private_key_file="YOUR_PRIVATE_KEY_FILE_LOCATION")

URL mentionnée lors de l'enquête

• [AWS Meister Series] Distribution de contenu par Amazon CloudFront / Amazon Elastic Transcoder http://www.slideshare.net/AmazonWebServicesJapan/20131120-aws-medisterregeneratecloudfrontetspublic Il y a une explication sur P29

• Accès au contenu privé avec Amazon CloudFront Partie 1 http://dev.classmethod.jp/etc/amazon-cloudfront-private-contents-access-1/ Il existe un manuel en anglais sur la console de gestion AWS, et à l'heure actuelle, il semble que toutes les opérations peuvent être effectuées à partir de la console de gestion Web.

• Code and Examples for Creating a Signature for a Signed URL http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateCFSignatureCodeAndExamples.html Il n'y a pas d'informations sur Python, mais cela semble utile

Essayez-le avec une vidéo

Faites correspondre ce qui précède au flux vidéo défini sur TODO

Préparation

--C2-video-test-private Ajouter un dossier vidéo au bucket

• Ajout de PyConAPACTW2014terada.mp4 au dossier vidéo
• Ajout de la distribution activée par flux à CloudFront

• Sélectionnez RTMP lors de la création
• Origin Domain Name : c2-video-test-private
• Restrict Bucket Access: Yes
• Origin Access Identity: Use an Existing Identity
• Sélectionnez une version prédéfinie de vos identités: (OAI pour c2-video-test-private)
• Grant Read Permissions on Bucket: Yes
• Restrict Viewer Access: Yes
• Trusted Signers: Self
• Logging: On
• Autres paramètres de journalisation (seau et chemin)

Jusque-là, cela devrait être facile à faire en examinant le passé.

Créer une URL signée

Travaillez avec boto comme ci-dessus

• url = "rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4"
• policy_url = "video/*" Un caractère générique est spécifié. ** Pour rtmp ** Ecrivez uniquement PATH comme ci-dessus (écrire à partir de rtpm: // ne fonctionne pas <J'étais accro à cela pendant quelques jours)

>>> url = "rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4"
>>> policy_url = "video/*"
>>> signed_url = distribution.create_signed_url(url=url, keypair_id=YOUR_KEYPAIR_ID, expire_time=expire_time, private_key_file=YOUR_PRIVATE_KEY_FILE_LOCATION, policy_url=policy_url)
>>> print signed_url
rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4?Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoidmlkZW8vKiIsIkNvbmRpdGlvbiI6eyJEYXRlTGVzc1RoYW4iOnsiQVdTOkVwb2NoVGltZSI6MTQwNjg5OTIwMX19fV19&Signature=m10lfH4vpepAWVNLCGO9xr~TFs-ZCUklra-I4D6WZvqO3aHhijIbtPQOiK00BPZzTxnu-enkvTuao1aDoP~HSONzF5xIqGqMuP4RYJ-B0~g5iQxvac1VVkb~3lZXMRN3Oz45BsrRWQawyXp1o~0M9sFr~zIVQAbM8aAji1WmTu0~fY0UcfgO74DNevYw4-I4S8S2KLnSimFGeU0bz3b8bXtgxketPz0JhTyM4akK8gD7xWjskrxFOZ4pskCaLvJr3Pyb9pJsqQ9T2izNsPs0Ms5pi94FnOdyejSRWezqrxp00KNttnlc3DGCOcmcCNDNYdIMxmNC6MuAfQKx~a1tig__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ

Modèle d'affichage vidéo

Faites de la partie src une URL signée.

<source src="rtmp://s3lse3ja7xuop9.cloudfront.net/cfx/st/&mp4:video/PyConAPACTW2014terada.mp4?Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoidmlkZW8vKiIsIkNvbmRpdGlvbiI6eyJEYXRlTGVzc1RoYW4iOnsiQVdTOkVwb2NoVGltZSI6MTQwNjg5OTIwMX19fV19&Signature=m10lfH4vpepAWVNLCGO9xr~TFs-ZCUklra-I4D6WZvqO3aHhijIbtPQOiK00BPZzTxnu-enkvTuao1aDoP~HSONzF5xIqGqMuP4RYJ-B0~g5iQxvac1VVkb~3lZXMRN3Oz45BsrRWQawyXp1o~0M9sFr~zIVQAbM8aAji1WmTu0~fY0UcfgO74DNevYw4-I4S8S2KLnSimFGeU0bz3b8bXtgxketPz0JhTyM4akK8gD7xWjskrxFOZ4pskCaLvJr3Pyb9pJsqQ9T2izNsPs0Ms5pi94FnOdyejSRWezqrxp00KNttnlc3DGCOcmcCNDNYdIMxmNC6MuAfQKx~a1tig__&Key-Pair-Id=APKAJAJZQHPKZI6OK5UQ"
                 type='rtmp/mp4' />

Page de test

Je pense que la date limite de visionnage est déjà passée, mais confirmez que vous pouvez la voir ci-dessous http://c2-video-test.s3-website-ap-northeast-1.amazonaws.com/index2.html

TODO à partir de la prochaine fois

• Je souhaite limiter la visualisation au flux vidéo et le distribuer. -> 20140801 Décrit dans l'élément "Essayer avec la vidéo" ci-dessus.
• Enquête sur ce qui se passe avec HLS pour iOS-> http://qiita.com/terapyon/items/fadecf13ed1d11dcd34d ――Enfin, je souhaite distribuer la vidéo en utilisant l'authentification de Plone.

Articles de blog liés à l'auteur

Distribution de contenu privé avec AWS CloudFront