Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Melakukan konfigurasi AWS Secrets Manager otentikasi token akses
Ketika Anda ingin menggunakan AWS Secrets Manager akses otentikasi token, Anda melakukan langkah-langkah berikut:
-
Anda membuat sebuah AWS Key Management Service kunci yang dikelola pelanggan.
-
Anda membuat AWS Secrets Manager rahasia. Rahasia berisi token akses Anda, yang disimpan di Secrets Manager sebagai nilai rahasia terenkripsi. MediaTailor menggunakan AWS KMS kunci yang dikelola pelanggan untuk mendekripsi nilai rahasia.
-
Anda mengkonfigurasi AWS Elemental MediaTailor lokasi sumber untuk menggunakan otentikasi token akses Secrets Manager.
Bagian berikut memberikan step-by-step panduan tentang cara mengkonfigurasi AWS Secrets Manager otentikasi token akses.
Topik
Langkah 1: Buat AWS KMS kunci terkelola pelanggan simetris
Anda menggunakan AWS Secrets Manager untuk menyimpan token akses Anda dalam bentuk SecretString
disimpan dalam rahasia. SecretString
Itu dienkripsi melalui penggunaan AWS KMS kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola. MediaTailor menggunakan kunci yang dikelola pelanggan simetris untuk memfasilitasi akses ke rahasia dengan hibah, dan untuk mengenkripsi dan mendekripsi nilai rahasia.
Kunci terkelola pelanggan memungkinkan Anda melakukan tugas-tugas seperti berikut:
-
Menetapkan dan memelihara kebijakan utama
-
Menetapkan dan memelihara IAM kebijakan dan hibah
-
Mengaktifkan dan menonaktifkan kebijakan utama
-
Memutar bahan kunci kriptografi
-
Menambahkan tanda
Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik Bagaimana AWS Secrets Manager menggunakan AWS KMSdi AWS Key Management Service Panduan Pengembang.
Untuk informasi selengkapnya tentang kunci terkelola pelanggan, lihat Kunci terkelola pelanggan di AWS Key Management Service Panduan Pengembang.
catatan
AWS KMS dikenakan biaya untuk menggunakan kunci yang dikelola pelanggan Untuk informasi selengkapnya tentang harga, lihat halaman Harga Layanan Manajemen AWS Kunci
Anda dapat membuat AWS KMS kunci yang dikelola pelanggan simetris menggunakan AWS Management Console atau secara terprogram dengan AWS KMS APIs.
Untuk membuat kunci terkelola pelanggan simetris
Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di AWS Key Management Service Panduan Pengembang.
Catat kunci Amazon Resource Name (ARN); Anda akan membutuhkannyaLangkah 2: Buat AWS Secrets Manager Rahasia.
Konteks enkripsi
Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
Secrets Manager menyertakan konteks enkripsi saat mengenkripsi dan mendekripsi file. SecretString
Konteks enkripsi mencakup rahasiaARN, yang membatasi enkripsi ke rahasia spesifik itu. Sebagai ukuran keamanan tambahan, MediaTailor menciptakan AWS KMS hibah atas nama Anda. MediaTailor menerapkan GrantConstraintsoperasi yang hanya memungkinkan kita untuk mendekripsi yang SecretString
terkait dengan rahasia yang ARN terkandung dalam konteks enkripsi Secrets Manager.
Untuk informasi tentang cara Secrets Manager menggunakan konteks enkripsi, lihat topik konteks Enkripsi di AWS Key Management Service Panduan Pengembang.
Menyetel kebijakan kunci
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menggunakan kebijakan kunci default. Untuk informasi selengkapnya, lihat Otentikasi dan kontrol akses untuk AWS KMSdi AWS Key Management Service Panduan Pengembang.
Untuk menggunakan kunci yang dikelola pelanggan dengan MediaTailor sumber daya lokasi sumber Anda, Anda harus memberikan izin kepada IAM prinsipal yang memanggil CreateSourceLocationatau UpdateSourceLocationmenggunakan API operasi berikut:
-
kms:CreateGrant
— Menambahkan hibah ke kunci yang dikelola pelanggan. MediaTailor membuat hibah pada kunci terkelola pelanggan Anda yang memungkinkannya menggunakan kunci untuk membuat atau memperbarui lokasi sumber yang dikonfigurasi dengan otentikasi token akses. Untuk informasi lebih lanjut tentang menggunakan Hibah di AWS KMS, lihat AWS Key Management Service Panduan Pengembang.Hal ini memungkinkan MediaTailor untuk melakukan hal berikut:
-
Panggil
Decrypt
agar berhasil mengambil rahasia Secrets Manager Anda saat menelepon GetSecretValue. -
Panggilan
RetireGrant
untuk menghentikan hibah ketika lokasi sumber dihapus, atau ketika akses ke rahasia telah dicabut.
-
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:
{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account number
:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region
.amazonaws.com" } } }
Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan dan akses kunci pemecahan masalah, lihat Memberi di AWS KMSdi AWS Key Management Service Panduan Pengembang.
Langkah 2: Buat AWS Secrets Manager Rahasia
Gunakan Secrets Manager untuk menyimpan token akses Anda dalam bentuk token SecretString
yang dienkripsi oleh AWS KMS kunci yang dikelola pelanggan. MediaTailormenggunakan kunci untuk mendekripsi. SecretString
Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik Bagaimana AWS Secrets Manager menggunakan AWS KMSdi AWS Key Management Service Panduan Pengembang.
Jika Anda menggunakan AWS Elemental MediaPackage sebagai asal lokasi sumber Anda, dan ingin menggunakan otentikasi token akses MediaTailor Secrets Manager ikuti prosedurnyaMengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN.
Anda dapat membuat rahasia Secrets Manager menggunakan AWS Management Console atau secara terprogram dengan Secrets Manager. APIs
Untuk membuat rahasia
Ikuti langkah-langkah untuk Membuat dan mengelola rahasia dengan AWS Secrets Manager di AWS Secrets Manager Panduan Pengguna.
Ingatlah pertimbangan berikut saat membuat rahasia Anda:
-
KmsKeyIdHarus menjadi kunci kunci ARN yang dikelola pelanggan yang Anda buat di Langkah 1.
-
Anda harus menyediakan a SecretString.
SecretString
Harus menjadi JSON objek yang valid yang mencakup kunci dan nilai yang berisi token akses. Misalnya, {” MyAccessTokenIdentifier “:"112233445566"}. Nilai harus antara 8-128 karakter.Saat Anda mengonfigurasi lokasi sumber Anda dengan otentikasi token akses, Anda menentukan
SecretString
kuncinya. MediaTailor menggunakan kunci untuk mencari dan mengambil token akses yang disimpan di.SecretString
Catat rahasia ARN dan
SecretString
kuncinya. Anda akan menggunakannya saat mengonfigurasi lokasi sumber Anda untuk menggunakan otentikasi token akses.
Melampirkan kebijakan rahasia berbasis sumber daya
Untuk mengizinkan MediaTailor akses nilai rahasia, Anda harus melampirkan kebijakan berbasis sumber daya ke rahasia. Untuk informasi selengkapnya, lihat Melampirkan kebijakan izin ke AWS Secrets Manager Secret di AWS Secrets Manager Panduan Pengguna.
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<
secret ARN
" } ] }
Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses
Anda dapat mengonfigurasi otentikasi token akses Secrets Manager menggunakan AWS Management Console atau secara terprogram dengan. MediaTailor APIs
Untuk mengonfigurasi lokasi sumber dengan otentikasi token akses Secrets Manager
Ikuti langkah-langkah untuk Access configuration di AWS Elemental MediaTailor Panduan Pengguna.