有人知道是否有办法将后端存储桶连接到私有云存储桶?,以保护来自 storage.googleapis.com API 的 api 调用并强制使用我的 LB?。
我通过使用 CDN Private Origins(使用 HMAC)对请求进行身份验证来实现此目的,但来自存储桶的响应不是很可定制(例如,存储桶的网站配置无法使用此功能(除非您有 CNAME 重定向) ),如果路径是未找到的对象,则存储桶名称很容易暴露,这不是很大的问题,但它是您使用本机后端存储桶所没有的不需要的额外内容)。
我只是想避免公开我的存储桶的 storage.googleapis.com API(正如我在定价中看到的那样,这可能会被某些攻击者利用,如果情况并非如此,请告知)。
谢谢!
我同意 Guillaume 如果您的存储桶是私有的,则需要身份验证。 私有源身份验证是面向源的,而签名 URL 和签名 cookie 是面向客户端的。您可以为相同的内容启用两者。私有源身份验证限制非 CDN 访问您的源和内容。签名 URL 和 Cookie 控制哪些用户可以访问 Cloud CDN。
具有签名 URL 和私有源方法的 Cloud CDN 对于访问私有存储桶来说是安全的。但是,尽管定制和潜在的存储桶名称暴露存在限制,但可以通过其他策略来缓解这些限制。云存储的安全方法也具有战略意义,因为它专注于保护 API,而不是基础设施本身。云存储的定价侧重于存储和数据传输,而不是 API 使用本身。 Cloud CDN 定价请参阅此官方文档。
“签名 cookie 还可以让您在有限的时间内访问资源。当您需要为每个用户签署数十或数百个 URL 时,它们会很有帮助。”
目前GCS不允许直接将后端Bucket连接到私有Bucket。将 Google 云存储存储桶连接到后端存储桶,同时保持安全性并避免暴露存储。谷歌 API 。 com,您可以通过云负载均衡器功能的组合来实现这一点,建议使用带有私有端点的 Cloud CDN 和 IAM 策略。