Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente Fase 2: Creare un segreto AWS Secrets Manager Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso

Configurazione dell'autenticazione AWS Secrets Manager con token di accesso

Quando si desidera utilizzare l'autenticazione con token di AWS Secrets Manager accesso, è necessario eseguire le seguenti operazioni:

Crei una chiave gestita dal AWS Key Management Service cliente.
Crei un AWS Secrets Manager segreto. Il segreto contiene il token di accesso, che viene archiviato in Secrets Manager come valore segreto crittografato. MediaTailor utilizza la chiave gestita AWS KMS dal cliente per decrittografare il valore segreto.
Si configura una posizione AWS Elemental MediaTailor di origine per utilizzare l'autenticazione con token di accesso di Secrets Manager.

La sezione seguente fornisce step-by-step indicazioni su come configurare AWS Secrets Manager l'autenticazione con token di accesso.

Argomenti

Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente
Fase 2: Creare un segreto AWS Secrets Manager
Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso

Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente

Viene utilizzato AWS Secrets Manager per archiviare il token di accesso sotto forma di un token SecretString archiviato in modo segreto. SecretStringViene crittografato tramite l'uso di una chiave AWS KMS simmetrica gestita dal cliente che viene creata, posseduta e gestita dall'utente. MediaTailor utilizza la chiave simmetrica gestita dal cliente per facilitare l'accesso al segreto con una concessione e per crittografare e decrittografare il valore segreto.

Le chiavi gestite dal cliente consentono di eseguire attività come le seguenti:

Stabilire e mantenere le policy delle chiavi
Stabilire e mantenere IAM politiche e sovvenzioni
Abilitare e disabilitare le policy delle chiavi
Materiale chiave crittografico rotante
Aggiungere tag

Per informazioni su come Secrets Manager utilizza AWS KMS per proteggere i segreti, consulta l'argomento How AWS Secrets Manager uses AWS KMS nella AWS Key Management Service Developer Guide.

Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Nota

AWS KMS vengono applicati costi per l'utilizzo di una chiave gestita dal cliente Per ulteriori informazioni sui prezzi, consulta la pagina dei prezzi del servizio di gestione delle AWS chiavi.

È possibile creare una chiave AWS KMS simmetrica gestita dal cliente utilizzando AWS Management Console o programmaticamente con. AWS KMS APIs

Per creare una chiave simmetrica gestita dal cliente

Segui i passaggi per la creazione di una chiave simmetrica gestita dal cliente nella Guida per gli sviluppatori.AWS Key Management Service

Prendi nota della chiave Amazon Resource Name (ARN); ti serviràFase 2: Creare un segreto AWS Secrets Manager.

Contesto di crittografia

Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

Secrets Manager include un contesto di crittografia per la crittografia e la decrittografia di. SecretString Il contesto di crittografia include il segretoARN, che limita la crittografia a quel segreto specifico. Come ulteriore misura di sicurezza, MediaTailor crea una AWS KMS concessione per tuo conto. MediaTailor applica un'GrantConstraintsoperazione che ci consente solo di decrittografare il segreto SecretString associato al segreto ARN contenuto nel contesto di crittografia Secrets Manager.

Per informazioni su come Secrets Manager utilizza il contesto di crittografia, consultate l'argomento Encryption context nella AWS Key Management Service Developer Guide.

Impostazione della politica chiave

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la tua chiave gestita dai clienti, puoi utilizzare la politica delle chiavi predefinita. Per ulteriori informazioni, consulta la sezione Autenticazione e controllo degli accessi AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.

Per utilizzare la chiave gestita dal cliente con le risorse di localizzazione di MediaTailor origine, è necessario concedere IAM l'autorizzazione UpdateSourceLocational responsabile della chiamata CreateSourceLocationo utilizzare le seguenti API operazioni:

kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. MediaTailor crea una concessione sulla chiave gestita dal cliente che consente di utilizzare la chiave per creare o aggiornare una posizione di origine configurata con l'autenticazione tramite token di accesso. Per ulteriori informazioni sull'utilizzo di Grants in AWS KMS, consulta la Guida per gli AWS Key Management Service sviluppatori.

Ciò consente di MediaTailor effettuare le seguenti operazioni:
- Chiama Decrypt in modo che possa recuperare con successo il tuo segreto di Secrets Manager durante la chiamata GetSecretValue.
- Chiama RetireGrant per ritirare la concessione quando la posizione di origine viene eliminata o quando l'accesso al segreto è stato revocato.

Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per: MediaTailor


{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy e sulla risoluzione dei problemi di accesso tramite chiave, consulta Grants in AWS KMS nella Developer Guide.AWS Key Management Service

Fase 2: Creare un segreto AWS Secrets Manager

Usa Secrets Manager per archiviare il tuo token di accesso sotto forma di codice crittografato da una chiave gestita dal AWS KMS cliente. SecretString MediaTailorutilizza la chiave per decrittografare il. SecretString Per informazioni su come Secrets Manager utilizza AWS KMS per proteggere i segreti, consulta l'argomento How AWS Secrets Manager uses AWS KMS nella AWS Key Management Service Developer Guide.

Se si utilizza l' AWS Elemental MediaPackage origine della posizione di origine e si desidera utilizzare l'autenticazione con token di accesso di MediaTailor Secrets Manager, seguire la proceduraIntegrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN.

È possibile creare un segreto di Secrets Manager utilizzando AWS Management Console o programmaticamente con Secrets Manager. APIs

Per creare un segreto

Segui i passaggi per creare e gestire AWS segreti con Secrets Manager nella Guida per l'AWS Secrets Manager utente.

Tieni a mente le seguenti considerazioni quando crei il tuo segreto:

KmsKeyIdDeve essere la chiave ARN della chiave gestita dal cliente che hai creato nella Fase 1.
È necessario fornire un SecretString. SecretStringDovrebbe essere un JSON oggetto valido che include una chiave e un valore contenenti il token di accesso. Ad esempio, {» MyAccessTokenIdentifier «:"112233445566"}. Il valore deve avere una lunghezza compresa tra 8 e 128 caratteri.

Quando si configura la posizione di origine con l'autenticazione tramite token di accesso, si specifica la SecretString chiave. MediaTailor utilizza la chiave per cercare e recuperare il token di accesso memorizzato in. SecretString

Prendi nota del segreto ARN e della SecretString chiave. Li utilizzerai quando configurerai la tua posizione di origine per utilizzare l'autenticazione con token di accesso.

Allegare una politica segreta basata sulle risorse

Per consentire MediaTailor l'accesso al valore segreto, è necessario allegare al segreto una politica basata sulle risorse. Per ulteriori informazioni, consulta Allegare una politica di autorizzazioni a un segreto di AWS Secrets Manager nella Guida per l'AWS Secrets Manager utente.

Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per MediaTailor:


{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "<secret ARN" 
        } 
    ] 

}

Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso

È possibile configurare l'autenticazione del token di accesso di Secrets Manager utilizzando AWS Management Console o programmaticamente con. MediaTailor APIs

Per configurare una posizione di origine con l'autenticazione del token di accesso di Secrets Manager

Segui i passaggi indicati Access configuration nella Guida per l'AWS Elemental MediaTailor utente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS Secrets Manager Lavorare con l'autenticazione tramite token di accesso

Integrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN