Signierte URLs für Amazon CloudFront erstellen

Kurze version: Wie mache ich unterschrieben URLs "on-demand" zu imitieren Nginx X-Accel-Redirect-Verhalten (d.h. Schutz-downloads) mit Amazon CloudFront/S3 mit Python.

Habe ich eine Django-server laufen mit Nginx front-end. Ich habe immer gehämmert mit Anfragen und vor kurzem hatte es zu installieren, als Tornado WSGI-Anwendung, um zu verhindern, dass es abstürzt, im FastCGI-Modus.

Nun ich habe ein Problem mit meinem server zu verzetteln (d.h. die meisten von Ihrer Bandbreite genutzt werden bis) aufgrund der zu viele Anfragen für Medien gemacht, um es, ich habe auf der Suche in CDNs und ich glaube, dass Amazon CloudFront/S3 wäre die richtige Lösung für mich.

Habe ich mit Nginx X-Accel-Redirect header zum Schutz der Daten vor unerlaubtem herunterladen, aber ich habe nicht diese Fähigkeit, mit CloudFront/S3-aber Sie bieten signierten URLs. Ich bin kein Python-Experte weit und definitiv nicht wissen, wie Sie eine Signierte URL korrekt, so war ich der Hoffnung, jemand hätte einen link für, wie man diese URLs "on-demand" - oder wäre bereit, zu erklären, wie hier, würde es sehr geschätzt werden.

Außerdem ist dies die richtige Lösung, auch? Ich bin nicht allzu vertraut mit CDNs, ist es ein CDN, das wäre besser für diese geeignet?

InformationsquelleAutor der Frage Zack | 2010-04-04

  1. 30

    Amazon CloudFront Signierte URLs anders funktionieren als Amazon S3 signierte URLs. CloudFront verwendet RSA-Signaturen basierend auf einem separaten CloudFront-Schlüsselpaar, welches Sie sich in Ihrem Amazon-Konto-Anmeldeinformationen Seite. Hier finden Sie den code, um tatsächlich zu generieren, die eine zeitlich begrenzte URL in Python mit dem M2Crypto Bibliothek:

    Erstellen Sie ein Schlüsselpaar für die CloudFront

    Ich denke, der einzige Weg, dies zu tun ist durch die Amazon-Website. Gehen Sie in Ihrer AWS - "Konto" - Seite und klicken Sie auf "Security Credentials" - link. Klicken Sie auf "Key Pairs" - Registerkarte, dann klicken Sie auf "Erstellen Sie ein Neues Schlüsselpaar". Dies generiert ein neues Schlüsselpaar für Sie und automatisch laden Sie eine private key-Datei (pk-xxxxxxxxx.pem). Halten Sie die Schlüssel-Datei sicher und privat. Beachten Sie auch die "Key Pair ID" von amazon als wir benötigen es im nächsten Schritt.

    Generieren einige URLs in Python

    Als der boto version 2.0 scheint es nicht zu sein, jede Unterstützung für das generieren von signierten CloudFront-URLs. Python nicht enthalten ist die RSA-Verschlüsselung Routinen in der standard-Bibliothek, also müssen wir die Verwendung einer zusätzlichen Bibliothek. Ich habe M2Crypto in diesem Beispiel.

    Für eine nicht-streaming-distribution, müssen Sie die vollständige cloudfront-URL als Ressource, jedoch für das streaming verwenden wir nur die Objekt Namen der video-Datei. Finden Sie den code unten ein vollständiges Beispiel für das erzeugen einer URL, die dauert nur 5 Minuten.

    Dieser code basiert lose auf dem PHP-Beispiel-code von Amazon in der CloudFront-Dokumentation.

    from M2Crypto import EVP
import base64
import time

def aws_url_base64_encode(msg):
    msg_base64 = base64.b64encode(msg)
    msg_base64 = msg_base64.replace('+', '-')
    msg_base64 = msg_base64.replace('=', '_')
    msg_base64 = msg_base64.replace('/', '~')
    return msg_base64

def sign_string(message, priv_key_string):
    key = EVP.load_key_string(priv_key_string)
    key.reset_context(md='sha1')
    key.sign_init()
    key.sign_update(message)
    signature = key.sign_final()
    return signature

def create_url(url, encoded_signature, key_pair_id, expires):
    signed_url = "%(url)s?Expires=%(expires)s&Signature=%(encoded_signature)s&Key-Pair-Id=%(key_pair_id)s" % {
            'url':url,
            'expires':expires,
            'encoded_signature':encoded_signature,
            'key_pair_id':key_pair_id,
            }
    return signed_url

def get_canned_policy_url(url, priv_key_string, key_pair_id, expires):
    #we manually construct this policy string to ensure formatting matches signature
    canned_policy = '{"Statement":[{"Resource":"%(url)s","Condition":{"DateLessThan":{"AWS:EpochTime":%(expires)s}}}]}' % {'url':url, 'expires':expires}

    #sign the non-encoded policy
    signature = sign_string(canned_policy, priv_key_string)
    #now base64 encode the signature (URL safe as well)
    encoded_signature = aws_url_base64_encode(signature)

    #combine these into a full url
    signed_url = create_url(url, encoded_signature, key_pair_id, expires);

    return signed_url

def encode_query_param(resource):
    enc = resource
    enc = enc.replace('?', '%3F')
    enc = enc.replace('=', '%3D')
    enc = enc.replace('&', '%26')
    return enc


#Set parameters for URL
key_pair_id = "APKAIAZVIO4BQ" #from the AWS accounts CloudFront tab
priv_key_file = "cloudfront-pk.pem" #your private keypair file
# Use the FULL URL for non-streaming:
resource = "http://34254534.cloudfront.net/video.mp4"
#resource = 'video.mp4' #your resource (just object name for streaming videos)
expires = int(time.time()) + 300 #5 min

#Create the signed URL
priv_key_string = open(priv_key_file).read()
signed_url = get_canned_policy_url(resource, priv_key_string, key_pair_id, expires)

print(signed_url)

#Flash player doesn't like query params so encode them if you're using a streaming distribution
#enc_url = encode_query_param(signed_url)
#print(enc_url)

    Stellen Sie sicher, dass Sie Ihre distribution mit einer TrustedSigners parameter auf dem Konto halten Sie Ihr Schlüsselpaar (oder "Selbst", wenn es auf Ihrem eigenen Konto)

    Sehen Erste Schritte mit sicheren AWS-CloudFront streaming mit Python für eine voll arbeitete beispielsweise auf die Einstellung für streaming mit Python

    InformationsquelleAutor der Antwort secretmike

  2. 19

    Diese Funktion ist jetzt bereits unterstützt Botocoredie die zugrunde liegende Bibliothek Boto3, die neuesten offiziellen AWS-SDK für Python. (Das folgende Beispiel erfordert die installation der rsa-Paket, aber Sie können auch andere RSA-Paket auch, nur definieren Sie Ihren eigenen "normalisiert RSA-signer".)

    Die Nutzung sieht wie folgt aus:

        from botocore.signers import CloudFrontSigner
    # First you create a cloudfront signer based on a normalized RSA signer::
    import rsa
    def rsa_signer(message):
        private_key = open('private_key.pem', 'r').read()
        return rsa.sign(
            message,
            rsa.PrivateKey.load_pkcs1(private_key.encode('utf8')),
            'SHA-1')  # CloudFront requires SHA-1 hash
    cf_signer = CloudFrontSigner(key_id, rsa_signer)

    # To sign with a canned policy::
    signed_url = cf_signer.generate_presigned_url(
        url, date_less_than=datetime(2015, 12, 1))

    # To sign with a custom policy::
    signed_url = cf_signer.generate_presigned_url(url, policy=my_policy)

    Disclaimer: ich bin der Autor, PR -.

    InformationsquelleAutor der Antwort RayLuo

  3. 14

    So viele kommentiert haben, die bereits die zunächst akzeptierte Antwort gilt nicht für Amazon CloudFront in der Tat, sofern Für Private Inhalte über CloudFront erfordert die Verwendung von speziellen CloudFront Signierte URLs - entsprechend secretmike Antwort richtig, aber es ist mittlerweile überholt, nachdem er sich die Zeit genommen und Hinzugefügt Unterstützung für das generieren von signierten URLs für CloudFront (vielen Dank dafür!!!!).

    boto unterstützt nun eine dedizierte create_signed_url - Methode und der ehemaligen binary Abhängigkeit M2Crypto wurde vor kurzem ersetzt mit einem pure-Python-RSA-Implementierung als gut, sehen Verwenden Sie nicht M2Crypto für cloudfront-URL-Signierung.

    Als zunehmend üblich, kann man ein oder mehrere gute Beispiele für eine Nutzung innerhalb der zugehörigen unit-tests (siehe test_signed_urls.py), zum Beispiel test_canned_policy(selbst -) - siehe setUp(self) für die referenzierten Variablen self.pk_idund self.pk_str (natürlich müssen Sie Ihren eigenen Schlüssel):

    def test_canned_policy(self):
    """
    Generate signed url from the Example Canned Policy in Amazon's
    documentation.
    """
    url = "http://d604721fxaaqy9.cloudfront.net/horizon.jpg?large=yes&license=yes"
    expire_time = 1258237200
    expected_url = "http://example.com/" # replaced for brevity
    signed_url = self.dist.create_signed_url(
        url, self.pk_id, expire_time, private_key_string=self.pk_str)
    # self.assertEqual(expected_url, signed_url)

    InformationsquelleAutor der Antwort Steffen Opel

  4. 0

    secretmike Antwort funktioniert, aber es ist besser, rsa statt M2Crypto.

    Ich verwendet botodie verwendet rsa.

    import boto
from boto.cloudfront import CloudFrontConnection
from boto.cloudfront.distribution import Distribution

expire_time = int(time.time() +3000)
conn = CloudFrontConnection('ACCESS_KEY_ID', 'SECRET_ACCESS_KEY')

##enter the id or domain name to select a distribution
distribution = Distribution(connection=conn, config=None, domain_name='', id='', last_modified_time=None, status='')
signed_url = distribution.create_signed_url(url='YOUR_URL', keypair_id='YOUR_KEYPAIR_ID_example-APKAIAZVIO4BQ',expire_time=expire_time,private_key_file="YOUR_PRIVATE_KEY_FILE_LOCATION")

    Verwenden Sie die boto Dokumentation

    InformationsquelleAutor der Antwort ravi404

  5. 0

    Dies ist, was ich verwenden für eine Richtlinie erstellen, so dass ich geben kann Zugriff auf mehrere Dateien mit der gleichen "Handschrift":

    import json 
import rsa
import time                                                                                                                                                                           

from base64 import b64encode 

url = "http://your_domain/*"                                                                                                                                                                      
expires = int(time.time() + 3600)

pem = """-----BEGIN RSA PRIVATE KEY-----  
...
-----END RSA PRIVATE KEY-----"""

key_pair_id = 'ABX....'

policy = {}                                                                                                                                                                           
policy['Statement'] = [{}]                                                                                                                                                            
policy['Statement'][0]['Resource'] = url                                                                                                                                              
policy['Statement'][0]['Condition'] = {}                                                                                                                                              
policy['Statement'][0]['Condition']['DateLessThan'] = {}                                                                                                                              
policy['Statement'][0]['Condition']['DateLessThan']['AWS:EpochTime'] = expires                                                                                                        

policy = json.dumps(policy)

private_key = rsa.PrivateKey.load_pkcs1(pem)                                                                                                                                          
signature = b64encode(rsa.sign(str(policy), private_key, 'SHA-1'))

print '?Policy=%s&Signature=%s&Key-Pair-Id=%s' % (b64encode(policy),                                                                                                                             
                                                  signature,                                                                                                                          
                                                  key_pair_id)

    Kann ich es verwenden, für alle Dateien unter http://your_domain/* zum Beispiel:

     http://your_domain/image2.png?Policy...
 http://your_domain/image2.png?Policy...
 http://your_domain/file1.json?Policy...

    InformationsquelleAutor der Antwort nbari

Schreibe einen Kommentar