Konfiguration der AWS Secrets Manager Zugriffstoken-Authentifizierung - AWS Elemental MediaTailor
Schritt 1: Erstellen Sie einen AWS KMS symmetrischen, vom Kunden verwalteten SchlüsselSchritt 2: Erstellen Sie ein AWS Secrets Manager GeheimnisSchritt 3: Konfigurieren Sie einen MediaTailor Quellstandort mit Zugriffstoken-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der AWS Secrets Manager Zugriffstoken-Authentifizierung

Wenn Sie die AWS Secrets Manager Zugriffstoken-Authentifizierung verwenden möchten, führen Sie die folgenden Schritte aus:

  1. Sie erstellen einen vom AWS Key Management Service Kunden verwalteten Schlüssel.

  2. Sie erstellen ein AWS Secrets Manager Geheimnis. Das Geheimnis enthält Ihr Zugriffstoken, das in Secrets Manager als verschlüsselter geheimer Wert gespeichert ist. MediaTailor verwendet den vom AWS KMS Kunden verwalteten Schlüssel, um den geheimen Wert zu entschlüsseln.

  3. Sie konfigurieren einen AWS Elemental MediaTailor Quellspeicherort für die Verwendung der Secrets Manager Manager-Zugriffstoken-Authentifizierung.

Der folgende Abschnitt enthält step-by-step Anleitungen zur Konfiguration der AWS Secrets Manager Zugriffstoken-Authentifizierung.

Schritt 1: Erstellen Sie einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel

Sie verwenden AWS Secrets Manager , um Ihr Zugriffstoken in Form eines geheimen Codes zu SecretString speichern. Der SecretString wird mithilfe eines AWS KMS symmetrischen, vom Kunden verwalteten Schlüssels verschlüsselt, den Sie erstellen, besitzen und verwalten. MediaTailor verwendet den symmetrischen, vom Kunden verwalteten Schlüssel, um den Zugriff auf den geheimen Schlüssel zu erleichtern und den geheimen Wert zu verschlüsseln und zu entschlüsseln.

Mit vom Kunden verwalteten Schlüsseln können Sie Aufgaben wie die folgenden ausführen:

  • Festlegung und Pflege wichtiger Richtlinien

  • Festlegung und Aufrechterhaltung von IAM Richtlinien und Zuschüssen

  • Aktivieren und Deaktivieren wichtiger Richtlinien

  • Rotierendes kryptografisches Schlüsselmaterial

  • Hinzufügen von Tags

    Informationen zur Verwendung von Secrets Manager AWS KMS zum Schutz von Geheimnissen finden Sie im Thema AWS Secrets Manager Anwendungsmöglichkeiten AWS KMS im AWS Key Management Service Entwicklerhandbuch.

    Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Developer Guide.

Anmerkung

AWS KMS Für die Nutzung eines vom Kunden verwalteten Schlüssels fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie auf der Seite mit den Preisen für den AWS Key Management Service.

Sie können einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel mithilfe von AWS Management Console oder programmgesteuert mit dem erstellen. AWS KMS APIs

Einen symmetrischen kundenverwalteten Schlüssel erstellen

Folgen Sie den Schritten zum Erstellen eines symmetrischen, vom Kunden verwalteten Schlüssels im Entwicklerhandbuch.AWS Key Management Service

Notieren Sie sich den Schlüssel Amazon Resource Name (ARN); Sie benötigen ihn inSchritt 2: Erstellen Sie ein AWS Secrets Manager Geheimnis.

Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

Secrets Manager beinhaltet einen Verschlüsselungskontext beim Verschlüsseln und Entschlüsseln von. SecretString Der Verschlüsselungskontext umfasst das GeheimnisARN, wodurch die Verschlüsselung auf dieses spezifische Geheimnis beschränkt wird. Als zusätzliche Sicherheitsmaßnahme gewährt es MediaTailor in Ihrem Namen einen AWS KMS Zuschuss. MediaTailor wendet eine GrantConstraintsOperation an, die es uns nur ermöglicht, das mit dem im Secrets Manager ARN enthaltene Verschlüsselungskontext SecretString verknüpfte Geheimnis zu entschlüsseln.

Informationen darüber, wie Secrets Manager den Verschlüsselungskontext verwendet, finden Sie im Thema Verschlüsselungskontext im AWS Key Management Service Entwicklerhandbuch.

Festlegung der Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie die Standardschlüsselrichtlinie verwenden. Weitere Informationen finden Sie AWS KMS im AWS Key Management Service Entwicklerhandbuch unter Authentifizierung und Zugriffskontrolle für.

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren MediaTailor Quellstandortressourcen zu verwenden, müssen Sie dem IAM Principal, der den Anruf durchführt, die Erlaubnis erteilen, CreateSourceLocationoder die folgenden API Operationen ausführen UpdateSourceLocationzu dürfen:

  • kms:CreateGrant: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. MediaTailor gewährt Ihrem vom Kunden verwalteten Schlüssel eine Genehmigung, sodass dieser den Schlüssel verwenden kann, um einen Quellstandort zu erstellen oder zu aktualisieren, der mit Zugriffstoken-Authentifizierung konfiguriert ist. Weitere Informationen zur Verwendung von Grants in AWS KMS finden Sie im AWS Key Management Service Developer Guide.

    Auf diese Weise können MediaTailor Sie Folgendes tun:

    • Rufen Sie an, Decrypt damit Ihr Secrets Manager Manager-Geheimnis beim Aufrufen erfolgreich abgerufen werden kann GetSecretValue.

    • Rufen Sie anRetireGrant, um den Zuschuss zurückzuziehen, wenn der Quellspeicherort gelöscht oder der Zugriff auf den geheimen Schlüssel gesperrt wurde.

Im Folgenden finden Sie ein Beispiel für eine Richtlinienerklärung, die Sie hinzufügen können: MediaTailor

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie und zur Problembehandlung beim Schlüsselzugriff finden Sie unter Grants AWS KMS im AWS Key Management Service Developer Guide.

Schritt 2: Erstellen Sie ein AWS Secrets Manager Geheimnis

Verwenden Sie Secrets Manager, um Ihr Zugriffstoken in Form eines durch einen SecretString AWS KMS Kunden verwalteten Schlüssels zu speichern. MediaTailorverwendet den Schlüssel, um den zu entschlüsseln. SecretString Informationen zur Verwendung von Secrets Manager AWS KMS zum Schutz von Geheimnissen finden Sie im Thema AWS Secrets Manager Anwendungsmöglichkeiten AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie Origin AWS Elemental MediaPackage als Quelladresse verwenden und die MediaTailor Secrets Manager Manager-Zugriffstoken-Authentifizierung verwenden möchten, gehen Sie wie folgt vorIntegration mit MediaPackage Endpunkten, die Autorisierung verwenden CDN.

Sie können ein Secrets Manager-Geheimnis mit dem AWS Management Console oder programmgesteuert mit dem Secrets Manager erstellen. APIs

So erstellen Sie ein Secret

Folgen Sie den Schritten für AWS Secrets Manager erstellen und verwalten im AWS Secrets Manager Benutzerhandbuch.

Beachten Sie bei der Erstellung Ihres Secrets die folgenden Überlegungen:

  • Dabei KmsKeyIdmuss es sich um den Schlüssel ARN des vom Kunden verwalteten Schlüssels handeln, den Sie in Schritt 1 erstellt haben.

  • Sie müssen eine angeben SecretString. Das SecretString sollte ein gültiges JSON Objekt sein, das einen Schlüssel und einen Wert enthält, die das Zugriffstoken enthalten. Zum Beispiel {“ MyAccessTokenIdentifier „:"112233445566"}. Der Wert muss zwischen 8 und 128 Zeichen lang sein.

    Wenn Sie Ihren Quellstandort mit Zugriffstoken-Authentifizierung konfigurieren, geben Sie den SecretString Schlüssel an. MediaTailor verwendet den Schlüssel, um das in der gespeicherte Zugriffstoken zu suchen und abzurufenSecretString.

    Notieren Sie sich das Geheimnis ARN und den SecretString Schlüssel. Sie werden sie verwenden, wenn Sie Ihren Quellstandort für die Verwendung der Zugriffstoken-Authentifizierung konfigurieren.

Anhängen einer ressourcenbasierten Geheimrichtlinie

Um MediaTailor auf den geheimen Wert zugreifen zu können, müssen Sie dem Geheimnis eine ressourcenbasierte Richtlinie hinzufügen. Weitere Informationen finden Sie unter Anhängen einer Berechtigungsrichtlinie an ein AWS Secrets Manager Secret im AWS Secrets Manager Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Richtlinienerklärung, die Sie hinzufügen können MediaTailor:

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "<secret ARN" 
        } 
    ] 

}

Schritt 3: Konfigurieren Sie einen MediaTailor Quellstandort mit Zugriffstoken-Authentifizierung

Sie können die Secrets Manager Manager-Zugriffstoken-Authentifizierung mit dem AWS Management Console oder programmgesteuert mit dem konfigurieren. MediaTailor APIs

Um einen Quellstandort mit Secrets Manager Manager-Zugriffstoken-Authentifizierung zu konfigurieren

Folgen Sie den Anweisungen Access configuration im AWS Elemental MediaTailor Benutzerhandbuch.