Configuration AWS Secrets Manager authentification par jeton d'accès - AWS Elemental MediaTailor
Étape 1 : Création d'un AWS KMS clé symétrique gérée par le clientÉtape 2 : Création d'un AWS Secrets Manager secretÉtape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration AWS Secrets Manager authentification par jeton d'accès

Lorsque vous souhaitez utiliser AWS Secrets Manager authentification par jeton d'accès, vous devez effectuer les étapes suivantes :

  1. Vous créez un AWS Key Management Service clé gérée par le client.

  2. Vous créez un AWS Secrets Manager secret. Le secret contient votre jeton d'accès, qui est stocké dans Secrets Manager sous forme de valeur secrète cryptée. MediaTailor utilise le AWS KMS clé gérée par le client pour déchiffrer la valeur secrète.

  3. Vous configurez un AWS Elemental MediaTailor emplacement source pour utiliser l'authentification par jeton d'accès à Secrets Manager.

La section suivante fournit des step-by-step conseils sur la façon de configurer AWS Secrets Manager authentification par jeton d'accès.

Étape 1 : Création d'un AWS KMS clé symétrique gérée par le client

Vous utilisez AWS Secrets Manager pour stocker votre jeton d'accès sous la forme d'un code secret. SecretString SecretStringIl est crypté à l'aide d'un AWS KMS clé symétrique gérée par le client que vous créez, détenez et gérez. MediaTailor utilise la clé symétrique gérée par le client pour faciliter l'accès au secret avec une autorisation, et pour chiffrer et déchiffrer la valeur du secret.

Les clés gérées par le client vous permettent d'effectuer des tâches telles que les suivantes :

  • Établissement et gestion des stratégies de clé

  • Établir et maintenir IAM des politiques et des subventions

  • Activation et désactivation des stratégies de clé

  • Matériau clé cryptographique rotatif

  • Ajout de balises

    Pour plus d'informations sur la façon dont Secrets Manager utilise AWS KMS pour protéger les secrets, consultez la rubrique Comment AWS Secrets Manager les usages AWS KMS dans le .AWS Key Management Service Guide du développeur.

    Pour plus d'informations sur les clés gérées par le client, voir Clés gérées par le client dans le AWS Key Management Service Guide du développeur.

Note

AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur la tarification, consultez la page de tarification du service de gestion des AWS clés.

Vous pouvez créer un AWS KMS clé symétrique gérée par le client à l'aide du AWS Management Console ou par programmation avec AWS KMS APIs.

Pour créer une clé symétrique gérée par le client

Suivez les étapes de création d'une clé symétrique gérée par le client dans le AWS Key Management Service Guide du développeur.

Notez la clé Amazon Resource Name (ARN) ; vous en aurez besoinÉtape 2 : Création d'un AWS Secrets Manager secret.

Contexte de chiffrement

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.

Secrets Manager inclut un contexte de chiffrement lors du chiffrement et du déchiffrement du. SecretString Le contexte de chiffrement inclut le secretARN, ce qui limite le chiffrement à ce secret spécifique. Comme mesure de sécurité supplémentaire, MediaTailor crée un AWS KMS subvention en votre nom. MediaTailor applique une GrantConstraintsopération qui nous permet uniquement de déchiffrer le secret SecretString associé au secret ARN contenu dans le contexte de chiffrement de Secrets Manager.

Pour plus d'informations sur la manière dont Secrets Manager utilise le contexte de chiffrement, consultez la rubrique relative au contexte de chiffrement dans le AWS Key Management Service Guide du développeur.

Définition de la politique clé

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez utiliser la politique de clé par défaut. Pour plus d'informations, voir Authentification et contrôle d'accès pour AWS KMSdans le AWS Key Management Service Guide du développeur.

Pour utiliser votre clé gérée par le client avec vos ressources de localisation MediaTailor source, vous devez autoriser le IAM principal qui appelle CreateSourceLocationou UpdateSourceLocationà effectuer les API opérations suivantes :

  • kms:CreateGrant : ajoute une attribution à une clé gérée par le client. MediaTailor crée une autorisation sur votre clé gérée par le client qui lui permet d'utiliser la clé pour créer ou mettre à jour un emplacement source configuré avec une authentification par jeton d'accès. Pour plus d'informations sur l'utilisation de Grants dans AWS KMS, consultez le AWS Key Management Service Guide du développeur.

    Cela permet MediaTailor d'effectuer les opérations suivantes :

    • Appelez Decrypt pour qu'il puisse récupérer avec succès le secret de votre Gestionnaire de Secrets Manager lors de l'appel GetSecretValue.

    • Appelez RetireGrant pour annuler l'autorisation lorsque l'emplacement source est supprimé ou lorsque l'accès au secret a été révoqué.

Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Pour plus d'informations sur la définition des autorisations dans une politique et sur la résolution des problèmes d'accès par clé, voir Subventions dans AWS KMSdans le AWS Key Management Service Guide du développeur.

Étape 2 : Création d'un AWS Secrets Manager secret

Utilisez Secrets Manager pour stocker votre jeton d'accès sous la forme d'un SecretString jeton crypté par un AWS KMS clé gérée par le client. MediaTailorutilise la clé pour déchiffrer leSecretString. Pour plus d'informations sur la façon dont Secrets Manager utilise AWS KMS pour protéger les secrets, consultez la rubrique Comment AWS Secrets Manager les usages AWS KMS dans le .AWS Key Management Service Guide du développeur.

Si vous utilisez AWS Elemental MediaPackage comme origine de votre emplacement source, et si vous souhaitez utiliser l'authentification par jeton d'accès à MediaTailor Secrets Manager, suivez la procédureIntégration aux MediaPackage points de terminaison qui utilisent l'autorisation CDN.

Vous pouvez créer un secret du Gestionnaire de Secrets à l'aide du AWS Management Console ou par programmation avec le Secrets Manager. APIs

Pour créer un secret

Suivez les étapes de la section Créer et gérer des secrets avec AWS Secrets Manager dans le AWS Secrets Manager Guide de l'utilisateur

Tenez compte des considérations suivantes lors de la création de votre secret :

  • KmsKeyIdIl doit s'agir ARN de la clé gérée par le client que vous avez créée à l'étape 1.

  • Vous devez fournir un SecretString. SecretStringIl doit s'agir d'un JSON objet valide comprenant une clé et une valeur contenant le jeton d'accès. Par exemple, {» MyAccessTokenIdentifier « ?112233445566"}. La valeur doit comporter entre 8 et 128 caractères.

    Lorsque vous configurez votre emplacement source avec l'authentification par jeton d'accès, vous spécifiez la SecretString clé. MediaTailor utilise la clé pour rechercher et récupérer le jeton d'accès stocké dans leSecretString.

    Notez le secret ARN et la SecretString clé. Vous les utiliserez lorsque vous configurerez votre emplacement source pour utiliser l'authentification par jeton d'accès.

Joindre une politique secrète basée sur les ressources

Pour autoriser l' MediaTailor accès à la valeur secrète, vous devez associer une politique basée sur les ressources à la clé secrète. Pour plus d'informations, voir Joindre une politique d'autorisation à un AWS Secrets Manager Secret dans le AWS Secrets Manager Guide de l'utilisateur

Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "<secret ARN" 
        } 
    ] 

}

Étape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès

Vous pouvez configurer l'authentification par jeton d'accès à Secrets Manager à l'aide du AWS Management Console ou par programmation avec le. MediaTailor APIs

Pour configurer un emplacement source avec l'authentification par jeton d'accès à Secrets Manager

Suivez les étapes indiquées Access configuration dans le AWS Elemental MediaTailor Guide de l'utilisateur