Configuration du SPEKE chiffrement à l'aide d'AWSElemental MediaConnect - AWSÉlémentaire MediaConnect
Étape 1 : Adhérez à un fournisseur CAÉtape 2 : créer une politique pour un proxy API GatewayÉtape 3 : créer un IAM rôle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du SPEKE chiffrement à l'aide d'AWSElemental MediaConnect

Avant de pouvoir octroyer un droit SPEKE chiffré, vous devez effectuer les étapes suivantes :

Étape 1. — Adhérez à un fournisseur de clés de plateforme d'accès conditionnel (CA) qui gérera votre clé de chiffrement. Au cours de ce processus, vous créez une API passerelle API dans Amazon qui envoie des demandes au nom d'AWSElemental MediaConnect au fournisseur de clés.

Étape 2 — Créez une IAM politique qui permet à celle API que vous avez créée à l'étape 1 d'agir en tant que proxy pour envoyer des demandes au fournisseur de clés.

Étape 3. — Créez un IAM rôle et associez la politique que vous avez créée à l'étape 2. Ensuite, configurez AWS Elemental MediaConnect en tant qu'entité de confiance autorisée à assumer ce rôle et à accéder au point de terminaison API Gateway en votre nom.

Étape 1 : Adhérez à un fournisseur CA

Pour utiliser SPEKE AWS Elemental MediaConnect, vous devez disposer d'un fournisseur de clés de plate-forme CA. Les AWS partenaires suivants proposent des solutions d'accès conditionnel (CA) pour la MediaConnect personnalisation de SPEKE :

Si vous êtes à l'origine de contenu, contactez votre fournisseur de clés de plate-forme CA pour obtenir de l'aide concernant le processus d'intégration. Avec l'aide de votre fournisseur clé de plate-forme CA, vous gérez qui a accès à quel contenu.

Pendant le processus d'intégration, prenez note des points suivants :

  • ARNde la demande de POST méthode : le nom de ressource Amazon (ARN) AWS attribué à la demande que vous créez dans API Gateway.

  • Vecteur d'initialisation constant (facultatif) : valeur hexadécimale de 128 bits et 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour chiffrer le contenu.

  • ID de l'appareil : identifiant unique pour chaque appareil que vous configurez avec le fournisseur de clés. Chaque appareil représente un destinataire différent pour votre contenu.

  • ID de ressource : identifiant unique que vous créez pour chaque élément de contenu que vous configurez avec le fournisseur de clés.

  • URL— L'URLattribut assigné par AWS pour le API que vous créez dans Amazon API Gateway.

Vous aurez besoin de ces valeurs ultérieurement, lorsque vous configurerez le droit dans MediaConnect.

Étape 2 : créer une IAM politique pour autoriser API Gateway à agir en tant que proxy

À l'étape 1, vous avez travaillé avec un fournisseur de clés de plate-forme CA qui gère votre clé de chiffrement. Au cours de cette étape, vous créez une IAM politique qui permet à API Gateway de faire des demandes en votre nom. APIGateway agit comme un proxy pour la communication entre votre compte et le fournisseur de clés.

Pour créer une IAM politique pour un proxy API Gateway

  1. Dans le volet de navigation de la IAM console, sélectionnez Policies.

  2. Choisissez Créer une politique, puis sélectionnez l'JSONonglet.

  3. Entrez une politique qui utilise le format suivant :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "execute-api:Invoke"
      ],
      "Resource": [
        "arn:aws:execute-api:us-west-2:111122223333:1abcdefghi/*/POST/*"
      ]
    }
  ]
}

    Dans la Resource section, remplacez l'exemple de nom de ressource Amazon (ARN) par celui ARN de la demande de POST méthode que vous avez créée dans API Gateway auprès du fournisseur de clés de la plate-forme CA.

  4. Choisissez Review policy (Examiner une politique).

  5. Pour Name (Nom), saisissez APIGateway-Proxy-Access.

  6. Sélectionnez Create policy (Créer une politique).

Étape 3 : créer un IAM rôle avec une relation de confiance

À l'étape 2, vous avez créé une politique APIGateway-Proxy-Access qui permet à API Gateway d'agir en tant que proxy et de faire des demandes en votre nom. Au cours de cette étape, vous créez un IAM rôle et associez les autorisations suivantes :

  • La APIGatewaypolitique -Proxy-Access permet à Amazon API Gateway d'agir en tant que proxy en votre nom afin de pouvoir effectuer des demandes entre votre compte et le fournisseur de clés de la plate-forme CA. Il s'agit de la politique que vous avez créée à l'étape 1.

  • Une politique de relation de confiance permet MediaConnect à AWS Elemental d'assumer le rôle en votre nom. Vous allez créer cette politique dans le cadre de la procédure suivante.

Pour créer un IAM rôle avec une relation de confiance

  1. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

  2. Sur la page Rôle, choisissez Créer un rôle.

  3. Sur la page Créer un rôle, dans Sélectionner le type d'entité approuvée, choisissez service AWS (la valeur par défaut).

  4. Pour Choisir le service qui utilisera ce rôle, choisissez EC2.

    Vous choisissez EC2 car AWS Elemental n' MediaConnect est actuellement pas inclus dans cette liste. En choisissantEC2, vous pouvez créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu deEC2.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Pour les politiques de filtrage, choisissez Gestion par le client.

  7. Cochez la case à côté de APIGateway-Proxy-Access, puis choisissez Next : Tags.

  8. Entrez les valeurs des balises (facultatif), puis choisissez Next : Review.

  9. Pour Nom du rôle, entrez un nom tel queSpekeAccess.

  10. Pour la description du rôle, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, Allows AWS Elemental MediaConnect to talk to API Gateway on my behalf.

  11. Sélectionnez Créer un rôle.

  12. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.

  13. Choisissez Relations de confiance, puis sélectionnez Modifier la relation de confiance.

  14. Pour le document de stratégie, modifiez la politique pour qu'elle ressemble à ceci : 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "mediaconnect.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  15. Choisissez Mettre à jour la politique d'approbation.

  16. Sur la page Résumé, notez la valeur de Role ARN. Il se présente comme suit : arn:aws:iam::111122223333:role/SpekeAccess.