Proteger las interacciones de AWS Elemental MediaTailor origen con SiGv4 - AWS Elemental MediaTailor

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Proteger las interacciones de AWS Elemental MediaTailor origen con SiGv4

La versión 4 de Signature (SiGv4) es un protocolo de firma que se utiliza para autenticar MediaTailor las solicitudes enviadas a orígenes compatibles. HTTPS Con la firma SigV4, MediaTailor incluye un encabezado de autorización firmado en la solicitud de HTTPS origen a MediaTailor Channel Assembly, Amazon S3 y la AWS Elemental MediaPackage versión 2.

Puedes usar SigV4 en tu origen para asegurarte de que las solicitudes de manifiesto solo se tramiten si proceden de un encabezado de autorización firmado MediaTailor y contienen un encabezado de autorización firmado. De esta forma, se bloquea el acceso a tu contenido de origen a las configuraciones de MediaTailor reproducción no autorizadas. Si el encabezado de autorización firmado es válido, tu origen tramitará la solicitud. Si no es válido, se produce un error en la solicitud.

En las siguientes secciones se describen los requisitos para utilizar la firma MediaTailor SiGv4 en los orígenes compatibles.

MediaTailor Requisitos de ensamblaje de canales

Si utiliza SiGv4 para proteger el origen de su ensamblaje de MediaTailor canales, debe cumplir los siguientes requisitos para MediaTailor poder acceder al manifiesto:

  • La base de origen URL de su MediaTailor configuración debe ser un canal Channel Assembly con el siguiente formato: channel-assembly.mediatailor.region.amazonaws.com

  • Su origen debe estar configurado para su usoHTTPS. Si no HTTPS está activado en el origen, MediaTailor no firmará la solicitud.

  • Tu canal debe tener una política de acceso al origen que incluya lo siguiente:

    • Acceso principal para acceder MediaTailor a tu canal. Concede acceso a mediatailor.amazonaws.com.

    • IAMpermisos mediatailor: GetManifest para leer todos los manifiestos de nivel superior a los que hace referencia la configuración. MediaTailor

    Para obtener información sobre cómo configurar una política en el canal, consulte. Cree un canal mediante la MediaTailor consola

ejemplo política de acceso al origen para Channel Assembly, que se aplica a la cuenta de MediaTailor configuración
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel", "Condition": { "StringEquals": {"AWS:SourceAccount": "777788889999"} } }
ejemplo política de acceso de origen para Channel Assembly, con el alcance de la configuración de reproducción MediaTailor
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel", "Condition": { "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"} } }

Requisitos de Amazon S3

Si utiliza SigV4 para proteger su origen de Amazon S3, debe cumplir los siguientes requisitos para MediaTailor poder acceder al manifiesto:

  • La base de origen URL de su MediaTailor configuración debe ser un bucket de S3 con el siguiente formato: s3.region.amazonaws.com

  • Su origen debe estar configurado para su usoHTTPS. Si no HTTPS está activado en el origen, MediaTailor no firmará la solicitud.

  • Tu canal debe tener una política de acceso al origen que incluya lo siguiente:

    • Acceso principal para acceder MediaTailor a tu bucket. Concede acceso a mediatailor.amazonaws.com.

      Para obtener información sobre la configuración del acceso enIAM, consulte Administración de acceso en la Guía del usuario de AWS Identity and Access Management.

    • IAMpermisos s3: GetObject para leer todos los manifiestos de nivel superior a los que hace referencia la MediaTailor configuración.

Para obtener información general sobre SigV4 para Amazon S3, consulte el tema Autenticación de solicitudes (versión de AWS firma 4) en la referencia de Amazon S3 API.

ejemplo política de acceso de origen para Amazon S3, que se aplica a la cuenta MediaTailor
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": {"AWS:SourceAccount": "111122223333"} } }
ejemplo política de acceso de origen para Amazon S3, incluida en la configuración de MediaTailor reproducción
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”} } }

MediaPackage requisitos

Si utilizas SiGv4 para proteger tu origen MediaPackage de la versión 2, debes cumplir los siguientes requisitos para MediaTailor poder acceder al manifiesto:

  • La base de origen URL de su MediaTailor configuración debe ser un punto final de la MediaPackage versión 2 con el siguiente formato: mediapackagev2.region.amazonaws.com

  • Su origen debe estar configurado para su usoHTTPS. Si no HTTPS está activado en el origen, MediaTailor no firmará la solicitud.

  • Tu canal debe tener una política de acceso al origen que incluya lo siguiente:

    • Acceso principal para acceder MediaTailor a tu punto final. Conceda acceso a mediatailor.amazonaws.com.

    • IAMpermisos mediapackagev2: para leer todos los manifiestos de nivel superior a los que hace referencia la configuración. GetObject MediaTailor

Para obtener información general sobre SigV4 para la versión MediaPackage 2, consulte el tema Cómo autenticar las solicitudes (AWSfirma, versión 4) en la referencia de la versión 2. MediaPackage API

ejemplo política de acceso de origen para la MediaPackage versión 2, que se aplica a la cuenta MediaTailor
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": {"AWS:SourceAccount": "444455556666"} } }
ejemplo política de acceso de origen para la MediaPackage versión 2, que se limita a la configuración de reproducción MediaTailor
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"} } }