Authentification requise pour SPEKE - Spécification de l'échange de clés d'encapsulage et d'encodeur sécurisés API
Authentification pour les implémentations AWS dans le cloudAuthentification pour les produits sur site

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification requise pour SPEKE

SPEKEnécessite une authentification pour les produits sur site et pour les services et fonctionnalités exécutés dans le AWS cloud.

Authentification pour les implémentations AWS dans le cloud

SPEKEnécessite une AWS authentification par le biais de IAM rôles à utiliser avec un crypteur. IAMles rôles sont créés par le DRM fournisseur ou par l'opérateur propriétaire du DRM point de terminaison dans un AWS compte. Chaque rôle se voit attribuer un Amazon Resource Name (ARN), que l'opérateur du service AWS Elemental fournit sur la console de service lorsqu'il demande le chiffrement. Les autorisations de politique du rôle doivent être configurées pour autoriser l'accès au fournisseur de clés API et aucun autre accès aux AWS ressources. Lorsque le crypteur contacte le fournisseur de DRM clés, il utilise ce rôle ARN pour assumer le rôle de titulaire du compte du fournisseur de clés, qui renvoie des informations d'identification temporaires que le crypteur peut utiliser pour accéder au fournisseur de clés.

Une implémentation courante consiste pour l'opérateur ou le fournisseur de DRM plate-forme à utiliser Amazon API Gateway devant le fournisseur clé, puis à activer AWS l'autorisation Identity and Access Management (AWSIAM) sur la ressource API Gateway. Vous pouvez utiliser l'exemple de définition de stratégie suivant et l'attacher à un nouveau rôle pour accorder des autorisations à la ressource appropriée. Dans ce cas, les autorisations concernent toutes les ressources de la API passerelle :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-west-2:*:*/*/GET/*"
            ]
        }
    ]
}

Enfin, le rôle nécessite l'ajout d'une relation d'approbation et l'opérateur doit être en mesure de sélectionner le service.

L'exemple suivant montre un rôle ARN créé pour accéder au fournisseur de DRM clés :

arn:aws:iam::2949266363526:role/DRMKeyServer

Pour plus d'informations sur la création d'un rôle, consultez AWS AssumeRole. Pour plus d'informations sur la signature d'une demande, consultez AWSSigv4.

Authentification pour les produits sur site

Pour les produits sur site, nous vous recommandons d'utiliser l'authentificationSSL/TLSet digest pour une sécurité optimale, mais vous devez au minimum utiliser l'authentification de base. HTTPS

Les deux types d'authentification utilisent l'Authorizationen-tête de la HTTP demande :

  • Authentification Digest — L'en-tête d'autorisation se compose de l'identifiant Digest suivi d'une série de valeurs qui authentifient la demande. Plus précisément, une valeur de réponse est générée par le biais d'une série de fonctions de MD5 hachage qui incluent un one-time-use nonce unique provenant du serveur qui est utilisé pour garantir que le mot de passe circule en toute sécurité.

  • Authentification de base — L'en-tête d'autorisation se compose de l'identifiant Basic suivi d'une chaîne codée en base 64 qui représente le nom d'utilisateur et le mot de passe, séparés par deux points.

Pour plus d'informations sur l'authentification de base et l'authentification par condensé, y compris des informations détaillées sur l'en-tête, consultez la spécification RFC2617 de l'Internet Engineering Task Force (IETF) intitulée HTTP Authentication : authentification d'accès de base et condensé.