Configuration du chiffrement par clé statique à l'aide d'AWSElemental MediaConnect - AWSÉlémentaire MediaConnect
Étape 1 : Stockez votre clé de chiffrement dans AWS Secrets ManagerÉtape 2. Créez une politique pour autoriser MediaConnect l'accès à votre secretÉtape 3. Créez un rôle avec une relation de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du chiffrement par clé statique à l'aide d'AWSElemental MediaConnect

Avant de créer un flux avec une source chiffrée, une sortie ou un droit utilisant le chiffrement par clé statique, vous devez effectuer les étapes suivantes :

Étape 1 — Stockez votre clé de chiffrement en tant que secret dans AWS Secrets Manager.

Étape 2 — Créez une IAM politique permettant à AWS Elemental de MediaConnect lire le secret dans AWS Secrets Manager lequel vous l'avez stocké.

Étape 3 — Créez un IAM rôle et associez la politique que vous avez créée à l'étape 2. Ensuite, configurez AWS Elemental MediaConnect en tant qu'entité de confiance autorisée à assumer ce rôle et à faire des demandes au nom de votre compte.

Note

MediaConnect prend en charge le chiffrement uniquement pour les droits, ainsi que pour les sources et les sorties utilisant le Zixi et les protocoles. SRT Votre clé enregistrée dans Secrets Manager pour le protocole Zixi est une clé statique au format hexadécimal. SRTutilise un mot de passe pour le chiffrement.

Étape 1 : Stockez votre clé de chiffrement dans AWS Secrets Manager

Pour utiliser le chiffrement par clé statique pour chiffrer votre MediaConnect contenu AWS élémentaire, vous devez AWS Secrets Manager créer un secret qui stocke la clé de chiffrement. Vous devez créer le secret et la ressource (source, sortie ou autorisation) qui utilise le secret dans le même AWS compte. Vous ne pouvez pas partager des secrets entre comptes.

Note

Si vous utilisez deux flux pour distribuer des vidéos d'une AWS région à l'autre, vous devez créer deux secrets (un secret dans chaque région).

Pour stocker une clé de chiffrement dans Secrets Manager

  1. Obtenez la clé de chiffrement auprès de l'entité qui gère la source.

  2. Connectez-vous à la AWS Secrets Manager console à l'adresse https://console.aws.amazon.com/secretsmanager/.

  3. Dans la page Stocker un nouveau secret, pour Sélectionner un type de secret, choisissez Autre type de secrets.

  4. Pour les paires clé/valeur, choisissez Plaintext.

  5. Effacez le texte de la zone et remplacez-le uniquement par la valeur de la clé de chiffrement. Pour les clés hexadécimales, vérifiez la longueur de la clé pour vous assurer qu'elle correspond à la longueur spécifiée pour le type de chiffrement. Par exemple, une clé de chiffrement AES -256 doit comporter 64 chiffres, car chaque chiffre a une taille de 4 bits.

  6. Pour Sélectionner la clé de chiffrement, conservez la valeur par défaut définie sur DefaultEncryptionKey.

  7. Choisissez Suivant.

  8. Pour Nom du secret, spécifiez un nom pour votre secret qui vous aidera à l'identifier ultérieurement. Par exemple, 2018-12-01_baseball-game-source.

  9. Choisissez Suivant.

  10. Dans la section Configurer la rotation automatique, choisissez Désactiver la rotation automatique.

  11. Choisissez Suivant, puis Stocker.

    La page de détails de votre nouveau secret apparaît, affichant des informations telles que le secretARN.

  12. Notez le secret ARN dans Secrets Manager. Vous aurez besoin de cette information dans la procédure suivante.

Étape 2 : Créez une IAM politique pour permettre à AWS Elemental MediaConnect d'accéder à votre secret

À l'étape 1, vous avez créé un secret et l'avez enregistré dans AWS Secrets Manager. Au cours de cette étape, vous créez une IAM politique qui permet MediaConnect à AWS Elemental de lire le secret que vous avez stocké.

Pour créer une IAM politique permettant d'accéder MediaConnect à votre secret

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, sélectionnez Policies.

  3. Choisissez Créer une politique, puis sélectionnez l'JSONonglet.

  4. Entrez une politique qui utilise le format suivant :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret",
        "secretsmanager:ListSecretVersionIds"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
      ]
    }
  ]
}

    Dans Resource cette section, chaque ligne représente ARN le secret que vous avez créé. Pour obtenir plus d’exemples, consultez IAMexemples de politiques pour les secrets dans AWS Secrets Manager.

  5. Choisissez Review policy (Examiner une politique).

  6. Dans Nom, entrez un nom pour votre politique, tel queSecretsManagerForMediaConnect.

  7. Choisissez Create Policy (Créer une politique).

Étape 3 : créer un IAM rôle avec une relation de confiance

À l'étape 2, vous avez créé une IAM politique qui autorise l'accès en lecture au secret dans lequel vous l'avez stocké AWS Secrets Manager. Au cours de cette étape, vous créez un IAM rôle et attribuez la politique à ce rôle. Ensuite, vous définissez AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle. Cela permet d' MediaConnect avoir un accès en lecture à votre secret.

Pour créer un rôle avec une relation de confiance

  1. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

  2. Sur la page Rôle, choisissez Créer un rôle.

  3. Sur la page Créer un rôle, dans Sélectionner le type d'entité approuvée, choisissez service AWS (la valeur par défaut).

  4. Pour Choisir le service qui utilisera ce rôle, choisissez EC2.

    Vous choisissez EC2 car AWS Elemental n' MediaConnect est actuellement pas inclus dans cette liste. En choisissantEC2, vous pouvez créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu deEC2.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Pour Joindre des politiques d'autorisation, entrez le nom de la politique que vous avez créée à l'étape 2, par exempleSecretsManagerForMediaConnect.

  7. Pour SecretsManagerReadWrite, cochez la case, puis choisissez Suivant : Révision.

  8. Pour Nom du rôle (Role name), saisissez un nom. Nous vous recommandons vivement de ne pas utiliser le nom MediaConnectAccessRole car il est réservé. Utilisez plutôt un nom qui inclut MediaConnect et décrit l'objectif de ce rôle, tel queMediaConnect-ASM.

  9. Pour la description du rôle, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, Allows MediaConnect to view secrets stored in AWS Secrets Manager.

  10. Sélectionnez Créer un rôle.

  11. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.

  12. Sélectionnez l'onglet Trust relationships (Relations d'approbation), puis Edit trust policy (Modifier la relation d'approbation).

  13. dans la fenêtre Modifier la politique de confiance, apportez les modifications suivantes à JSON :

    • Pour le service, remplacez ec2.amazonaws.com par mediaconnect.amazonaws.com

    • Pour plus de sécurité, définissez des conditions spécifiques pour la politique de confiance. Cela se limitera MediaConnect à l'utilisation des seules ressources de votre compte. Pour ce faire, utilisez une condition globale telle que l'ID de compte, le flux ARN ou les deux. Consultez l'exemple suivant de politique de confiance conditionnelle. Pour plus d'informations sur les avantages en matière de sécurité liés à la situation mondiale, consultez la section Prévention interservices de la confusion des adjoints.

      Note

      L'exemple suivant utilise à la fois l'ID de compte et les ARN conditions de flux. Votre politique sera différente si vous n'utilisez pas les deux conditions. Si vous ne connaissez pas l'intégralité ARN du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition contextuelle aws:SourceArn globale avec des caractères génériques (*) pour les parties inconnues duARN. Par exemple, arn:aws:mediaconnect:*:111122223333:*.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediaconnect.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
                }
            }
        }
    ]
}

  14. Choisissez Mettre à jour la politique d'approbation.

  15. Sur la page Résumé, notez la valeur de Role ARN. Il se présente comme suit : arn:aws:iam::111122223333:role/MediaConnectASM.