Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación de solicitudes a Amazon S3 con SigV4
La versión 4 de la firma (SigV4) para Amazon S3 es un protocolo de firma que se utiliza para autenticar las solicitudes a Amazon S3 a través de. HTTPS Cuando utiliza SigV4 para Amazon S3, MediaTailor incluye un encabezado de autorización firmado en la HTTPS solicitud al bucket de Amazon S3 utilizado como origen. Si el encabezado de autorización firmado es válido, tu origen tramita la solicitud. Si no es válido, se produce un error en la solicitud.
Para obtener información general sobre SiGv4 para AWS Key Management Service, consulte el tema Autenticación de solicitudes (AWSfirma versión 4) en la APIreferencia de Amazon S3.
nota
MediaTailor siempre firma las solicitudes que llegan a estos orígenes con SigV4.
Requisitos
Si activa la autenticación SigV4 para Amazon S3 en su ubicación de origen, debe cumplir los siguientes requisitos:
-
Debe permitir el acceso MediaTailor a su bucket de Amazon S3 concediendo el acceso principal a mediatailor.amazonaws.com en. IAM Para obtener información sobre cómo configurar el acceso a, consulte Administración de acceso en IAM AWS Identity and Access Management Guía del usuario.
-
El director de servicio de mediatailor.amazonaws.com debe tener permisos para leer todos los manifiestos de nivel superior a los que hacen referencia las configuraciones del paquete fuente. VOD
-
La persona que llama API debe tener GetObject IAM permisos s3: para leer todos los manifiestos de nivel superior a los que hacen referencia las configuraciones del paquete fuente. MediaTailor VOD
-
La base MediaTailor de ubicación de origen URL debe seguir el formato de solicitud tipo alojamiento virtual de Amazon S3. URL Por ejemplo, https://
bucket-name.s3.Region.amazonaws.com/key-name. Para obtener información sobre el acceso de estilo virtual alojado en Amazon S3, consulte Solicitudes de estilo virtual alojado.
MediaTailor Firma de solicitudes de origen mediante SigV4
Puedes usar la firma SigV4 para las solicitudes realizadas por MediaTailor to valid AWS orígenes que incluyen Amazon S3, Channel Assembly y MediaPackage V2. Esto permite que los orígenes sepan quién realiza MediaTailor las solicitudes y puede limitar el acceso únicamente a MediaTailor las solicitudes. Si no limitas el acceso solo a MediaTailor las solicitudes, otros MediaTailor clientes podrán acceder a tu origen a través de su propia configuración de MediaTailor reproducción.
Los orígenes en los que firmaremos las solicitudes son AWS Key Management Service, Channel Assembly y MediaPackage V2. El origen URLs debe tener el siguiente aspecto:,
mediapackagev2.<region>.amazonaws.com
channel-assembly.mediatailor.<region>.amazonaws.com
s3.<region>.amazonaws.com
importante
Usa https para firmar las solicitudes de OriginURLs. Si tu Origin no está configurado para usarloHTTPS, MediaTailor no firmará las solicitudes de Origin con SigV4.
Ejemplos de IAM políticas para que Origins limite el acceso a MediaTailor
Las siguientes IAM políticas muestran ejemplos de cómo limitar el acceso a MediaTailor.
Amazon S3
Limitado a la cuenta:
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": {"AWS:SourceAccount": "123456789012"} } }
Con el alcance de la configuración de reproducción: ARN
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
MediaPackage V2
Limitado a la cuenta:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
Con el alcance de la configuración de reproducción: ARN
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
Montaje de canales
Con el alcance de la cuenta:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
Con el alcance de la configuración de reproducción: ARN
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
