はじめに
GCSに格納した画像の署名付きURLの取得を実装しようとした際に、実装例が少なかったため記事に書き出そうと思います。
署名付きURLとは
署名付きURLとは認証情報や有効期限などの情報を含むURLです。
URL自体に認証情報を含むため、認証情報を持たないユーザーでもリソースに特定の操作が可能となります。
今回は画面上に画像を表示するために署名付きのURLを取得することで、画面にアクセス可能な人は誰でも画像が表示できる事を実現します。
署名なしのURLや期限切れURLでは表示できません。
実現したいこと
GoogleCloudStorage上にアップロードした画像の署名付きURLを取得して画面(Webページ)に表示する事を実現します。
以下の画像のイメージです。
事前準備
GCSにバケットを追加
GCSにバケットを追加し、署名付きURLを取得したい画像を配置します。
サービスアカウントの追加
GoogleCloudStorageに接続し、署名を行うためのサービスアカウントを作成します。
その際に最低限必要な権限は以下の権限です。
- storage.objects.get(GCSのオブジェクト参照権限)
- iam.serviceAccounts.signBlob(Blobの署名権限)
上記2つの権限を持つロールを作成し、サービスアカウントに割り当てました。
- 作成したロール
- サービスアカウントへの割り当て
サービスアカウントキーの発行(ローカル実行確認用)
作成したサービスアカウントのキーファイルを発行します。
今回はjson形式のキーファイルを発行しました。
発行したキーはローカル上の任意の場所に置きます。
ローカル実行時にこちらのサービスアカウントでアクセスできるよう、後ほど作成するWeb API プロジェクトの環境変数に以下の設定が必要になります。
"environmentVariables": {
"GOOGLE_APPLICATION_CREDENTIALS": "{サービスアカウントキーファイルのパス}",
}
手順
【手順1】パッケージのインストール
Web API プロジェクトを作成し、実装に使用する以下のパッケージをインストールします。
- Google.Apis.Iam.v1
- Google.Cloud.Storage.V1
【手順2】IamServiceBlobSignerクラスの作成
署名を行うためのBlobSignerをインスタンス化するために、IamServiceBlobSignerクラスを実装します。
ソースコードは公式のページから引用し、今回用に少し変更しました。
(記事末尾に参考ページを記載)
internal sealed class IamServiceBlobSigner : UrlSigner.IBlobSigner
{
private readonly IamService _iamService;
public string Id { get; }
public string Algorithm => "GOOG4-RSA-SHA256";
internal IamServiceBlobSigner(IamService service, string id)
{
_iamService = service;
Id = id;
}
public string CreateSignature(byte[] data, UrlSigner.BlobSignerParameters _) =>
CreateRequest(data).Execute().Signature;
public Task<string> CreateSignatureAsync(byte[] data, UrlSigner.BlobSignerParameters parameters, CancellationToken cancellationToken)
{
throw new NotImplementedException();
}
private ProjectsResource.ServiceAccountsResource.SignBlobRequest CreateRequest(byte[] data)
{
SignBlobRequest body = new SignBlobRequest { BytesToSign = Convert.ToBase64String(data) };
string account = $"projects/-/serviceAccounts/{Id}";
ProjectsResource.ServiceAccountsResource.SignBlobRequest request =
_iamService.Projects.ServiceAccounts.SignBlob(body, account);
return request;
}
}
【手順3】UrlSignerのインスタンス化
先の手順で作成したIamServiceBlobSignerを用いてblobSignerをインスタンス化し、続けてUrlSignerを生成します。
今回はコンストラクタの中で実装しました。
public class CloudStorageService
{
/// <summary>サービスアカウントID</summary>
private string ServiceAccountId { get; set; }
/// <summary>バケット名</summary>
private string BucketName { get; set; }
/// <summary>URL取得用</summary>
private UrlSigner UrlSigner { get; set; }
public CloudStorageService()
{
// ローカル実行では環境変数のGOOGLE_APPLICATION_CREDENTIALSが参照される
var credential = GoogleCredential.GetApplicationDefault();
BucketName = "{バケット名}";
ServiceAccountId = "{サービスアカウントID}";
// IamServiceClientObjectの作成
credential = credential.CreateScoped(IamService.Scope.CloudPlatform);
IamService iamService = new IamService(new BaseClientService.Initializer
{
HttpClientInitializer = credential
});
// 先の手順で作成した IamServiceBlobSigner を用いてUrlSignerの作成
IamServiceBlobSigner blobSigner = new IamServiceBlobSigner(iamService, ServiceAccountId);
UrlSigner = UrlSigner.FromBlobSigner(blobSigner);
}
}
【手順4】画像URIの取得と署名
呼び出し時に署名を行いURLを取得するメソッドを作成します。
また、このメソッドを呼び出す形でAPIを作成します。
/// <summary>
/// BLOBのURIを取得する
/// </summary>
/// <param name="blobName">BLOB名</param>
/// <returns></returns>
public Uri GetBlobUri(string blobName)
{
// リクエストURLの作成
UrlSigner.RequestTemplate requestTemplate = UrlSigner.RequestTemplate
.FromBucket(BucketName)
.WithObjectName(blobName)
.WithHttpMethod(HttpMethod.Get);
// 署名の有効期限などのオプションを設定
UrlSigner.Options options = UrlSigner.Options.FromDuration(TimeSpan.FromHours(1));
var url = UrlSigner.Sign(requestTemplate, options);
return new Uri(url);
}
実行結果
起動してAPIをコールし、返却されたURLにアクセスすると無事に画像が表示できました。
ソースコード
Contoroller
using GetSignedBlobUrl.Services;
using Microsoft.AspNetCore.Mvc;
namespace GetSignedBlobUrl.Controllers
{
[ApiController]
[Route("api/getUrl")]
public class GetUrlController : ControllerBase
{
private readonly ILogger<GetUrlController> _logger;
public GetUrlController(ILogger<GetUrlController> logger)
{
_logger = logger;
}
[HttpGet("{name}")]
public IActionResult GetUrl(string name)
{
var service = new GetUrlService();
return new OkObjectResult(service.GetBlobUri(name));
}
}
}
Service
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;
using Google.Apis.Services;
using Google.Cloud.Storage.V1;
namespace GetSignedBlobUrl.Services
{
public class GetUrlService
{
/// <summaryサービスアカウントID</summary>
private string ServiceAccountId { get; set; }
/// <summaryバケット名</summary>
private string BucketName { get; set; }
/// <summary>URL取得用</summary>
private UrlSigner UrlSigner { get; set; }
public GetUrlService()
{
GoogleCredential credential;
// ローカル実行では環境変数のGOOGLE_APPLICATION_CREDENTIALSが参照される
credential = GoogleCredential.GetApplicationDefault();
BucketName = "{バケット名}";
ServiceAccountId = "{サービスアカウントID}";
// IamServiceClientObjectの作成
credential = credential.CreateScoped(IamService.Scope.CloudPlatform);
IamService iamService = new IamService(new BaseClientService.Initializer
{
HttpClientInitializer = credential
});
// 先の手順で作成した IamServiceBlobSigner を用いてUrlSignerの作成
IamServiceBlobSigner blobSigner = new IamServiceBlobSigner(iamService, ServiceAccountId);
UrlSigner = UrlSigner.FromBlobSigner(blobSigner);
}
/// <summary>
/// BLOBのURIを取得する
/// </summary>
/// <param name="blobName">BLOB名</param>
/// <returns></returns>
public Uri GetBlobUri(string blobName)
{
// リクエストURLの作成
UrlSigner.RequestTemplate requestTemplate = UrlSigner.RequestTemplate
.FromBucket(BucketName)
.WithObjectName(blobName)
.WithHttpMethod(HttpMethod.Get);
// 署名の有効期限などのオプションを設定
UrlSigner.Options options = UrlSigner.Options.FromDuration(TimeSpan.FromHours(1));
var url = UrlSigner.Sign(requestTemplate, options);
return new Uri(url);
}
}
/// <summary>
/// 署名部分の実装
/// </summary>
internal sealed class IamServiceBlobSigner : UrlSigner.IBlobSigner
{
private readonly IamService _iamService;
public string Id { get; }
public string Algorithm => "GOOG4-RSA-SHA256";
internal IamServiceBlobSigner(IamService service, string id)
{
_iamService = service;
Id = id;
}
public string CreateSignature(byte[] data, UrlSigner.BlobSignerParameters _) =>
CreateRequest(data).Execute().Signature;
public Task<string> CreateSignatureAsync(byte[] data, UrlSigner.BlobSignerParameters parameters, CancellationToken cancellationToken)
{
throw new NotImplementedException();
}
private ProjectsResource.ServiceAccountsResource.SignBlobRequest CreateRequest(byte[] data)
{
SignBlobRequest body = new SignBlobRequest { BytesToSign = Convert.ToBase64String(data) };
string account = $"projects/-/serviceAccounts/{Id}";
ProjectsResource.ServiceAccountsResource.SignBlobRequest request =
_iamService.Projects.ServiceAccounts.SignBlob(body, account);
return request;
}
}
}
参考サイト
関連記事