Mengkonfigurasi otentikasi token AWS Secrets Manager akses - AWS Elemental MediaTailor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi otentikasi token AWS Secrets Manager akses

Ketika Anda ingin menggunakan otentikasi token AWS Secrets Manager akses, Anda melakukan langkah-langkah berikut:

  1. Anda membuat kunci yang dikelola AWS Key Management Service pelanggan.

  2. Anda membuat AWS Secrets Manager rahasia. Rahasia berisi token akses Anda, yang disimpan di Secrets Manager sebagai nilai rahasia terenkripsi. MediaTailor menggunakan kunci yang dikelola AWS KMS pelanggan untuk mendekripsi nilai rahasia.

  3. Anda mengonfigurasi lokasi AWS Elemental MediaTailor sumber untuk menggunakan otentikasi token akses Secrets Manager.

Bagian berikut memberikan step-by-step panduan tentang cara mengkonfigurasi otentikasi token AWS Secrets Manager akses.

Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris

Anda gunakan AWS Secrets Manager untuk menyimpan token akses Anda dalam bentuk SecretString disimpan dalam rahasia. SecretStringIni dienkripsi melalui penggunaan kunci terkelola pelanggan AWS KMS simetris yang Anda buat, miliki, dan kelola. MediaTailor menggunakan kunci yang dikelola pelanggan simetris untuk memfasilitasi akses ke rahasia dengan hibah, dan untuk mengenkripsi dan mendekripsi nilai rahasia.

Kunci terkelola pelanggan memungkinkan Anda melakukan tugas-tugas seperti berikut:

  • Menetapkan dan memelihara kebijakan utama

  • Menetapkan dan memelihara IAM kebijakan dan hibah

  • Mengaktifkan dan menonaktifkan kebijakan utama

  • Memutar bahan kunci kriptografi

  • Menambahkan tanda

    Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik Cara AWS Secrets Manager penggunaan AWS KMS dalam Panduan AWS Key Management Service Pengembang.

    Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Kunci yang dikelola pelanggan di Panduan Developer AWS Key Management Service .

catatan

AWS KMS dikenakan biaya untuk menggunakan kunci yang dikelola pelanggan Untuk informasi selengkapnya tentang harga, lihat halaman Harga Layanan Manajemen AWS Kunci.

Anda dapat membuat kunci terkelola pelanggan AWS KMS simetris menggunakan AWS Management Console atau secara terprogram dengan. AWS KMS APIs

Untuk membuat kunci terkelola pelanggan simetris

Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service Pengembang.

Catat kunci Amazon Resource Name (ARN); Anda akan membutuhkannyaLangkah 2: Buat AWS Secrets Manager rahasia.

Konteks enkripsi

Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

Secrets Manager menyertakan konteks enkripsi saat mengenkripsi dan mendekripsi file. SecretString Konteks enkripsi mencakup rahasiaARN, yang membatasi enkripsi ke rahasia spesifik itu. Sebagai ukuran keamanan tambahan, MediaTailor buat AWS KMS hibah atas nama Anda. MediaTailor menerapkan GrantConstraintsoperasi yang hanya memungkinkan kita untuk mendekripsi yang SecretString terkait dengan rahasia yang ARN terkandung dalam konteks enkripsi Secrets Manager.

Untuk informasi tentang cara Secrets Manager menggunakan konteks enkripsi, lihat topik konteks Enkripsi di Panduan AWS Key Management Service Pengembang.

Menyetel kebijakan utama

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menggunakan kebijakan kunci default. Untuk informasi selengkapnya, lihat Otentikasi dan kontrol akses AWS KMS di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci yang dikelola pelanggan dengan MediaTailor sumber daya lokasi sumber Anda, Anda harus memberikan izin kepada IAM prinsipal yang memanggil CreateSourceLocationatau UpdateSourceLocationmenggunakan API operasi berikut:

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. MediaTailor membuat hibah pada kunci terkelola pelanggan Anda yang memungkinkannya menggunakan kunci untuk membuat atau memperbarui lokasi sumber yang dikonfigurasi dengan otentikasi token akses. Untuk informasi selengkapnya tentang penggunaan Hibah di AWS KMS, lihat Panduan AWS Key Management Service Pengembang.

    Hal ini memungkinkan MediaTailor untuk melakukan hal berikut:

    • Panggil Decrypt agar berhasil mengambil rahasia Secrets Manager Anda saat menelepon GetSecretValue.

    • Panggilan RetireGrant untuk menghentikan hibah ketika lokasi sumber dihapus, atau ketika akses ke rahasia telah dicabut.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:

{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }

Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan dan akses kunci pemecahan masalah, lihat Hibah di AWS KMS Panduan Pengembang.AWS Key Management Service

Langkah 2: Buat AWS Secrets Manager rahasia

Gunakan Secrets Manager untuk menyimpan token akses Anda dalam bentuk SecretString yang dienkripsi oleh kunci yang dikelola AWS KMS pelanggan. MediaTailormenggunakan kunci untuk mendekripsi. SecretString Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik Cara AWS Secrets Manager penggunaan AWS KMS dalam Panduan AWS Key Management Service Pengembang.

Jika Anda menggunakan AWS Elemental MediaPackage sebagai sumber asal lokasi Anda, dan ingin menggunakan MediaTailor Secrets Manager access token authentication ikuti prosedurnyaMengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN.

Anda dapat membuat rahasia Secrets Manager menggunakan AWS Management Console atau secara terprogram dengan Secrets Manager. APIs

Untuk membuat rahasia

Ikuti langkah-langkah untuk Membuat dan mengelola AWS rahasia dengan Secrets Manager di Panduan AWS Secrets Manager Pengguna.

Ingatlah pertimbangan berikut saat membuat rahasia Anda:

  • KmsKeyIdHarus menjadi kunci kunci ARN yang dikelola pelanggan yang Anda buat di Langkah 1.

  • Anda harus menyediakan a SecretString. SecretStringHarus menjadi JSON objek yang valid yang mencakup kunci dan nilai yang berisi token akses. Misalnya, {” MyAccessTokenIdentifier “:"112233445566"}. Nilai harus antara 8-128 karakter.

    Saat Anda mengonfigurasi lokasi sumber Anda dengan otentikasi token akses, Anda menentukan SecretString kuncinya. MediaTailor menggunakan kunci untuk mencari dan mengambil token akses yang disimpan di. SecretString

    Catat rahasia ARN dan SecretString kuncinya. Anda akan menggunakannya saat mengonfigurasi lokasi sumber Anda untuk menggunakan otentikasi token akses.

Melampirkan kebijakan rahasia berbasis sumber daya

Untuk mengizinkan MediaTailor akses nilai rahasia, Anda harus melampirkan kebijakan berbasis sumber daya ke rahasia. Untuk informasi selengkapnya, lihat Melampirkan kebijakan izin ke AWS Rahasia Secrets Manager di Panduan AWS Secrets Manager Pengguna.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<secret ARN" } ] }

Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses

Anda dapat mengonfigurasi otentikasi token akses Secrets Manager menggunakan AWS Management Console atau secara terprogram dengan. MediaTailor APIs

Untuk mengonfigurasi lokasi sumber dengan otentikasi token akses Secrets Manager

Ikuti langkah-langkah untuk Access configuration di Panduan AWS Elemental MediaTailor Pengguna.