Configurazione AWS Secrets Manager autenticazione tramite token di accesso - AWS Elemental MediaTailor

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione AWS Secrets Manager autenticazione tramite token di accesso

Quando si desidera utilizzare AWS Secrets Manager l'autenticazione con token di accesso, si eseguono le seguenti operazioni:

  1. Si crea un AWS Key Management Service chiave gestita dal cliente.

  2. Crei un AWS Secrets Manager segreto. Il segreto contiene il token di accesso, che viene archiviato in Secrets Manager come valore segreto crittografato. MediaTailor utilizza il AWS KMS chiave gestita dal cliente per decrittografare il valore segreto.

  3. Si configura un AWS Elemental MediaTailor posizione di origine per utilizzare l'autenticazione del token di accesso di Secrets Manager.

La sezione seguente fornisce step-by-step indicazioni su come configurare AWS Secrets Manager autenticazione con token di accesso.

Fase 1: Creare un AWS KMS chiave simmetrica gestita dal cliente

Tu usi AWS Secrets Manager per memorizzare il token di accesso sotto forma di un token SecretString archiviato in modo segreto. SecretStringViene crittografato mediante l'uso di un AWS KMS chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire. MediaTailor utilizza la chiave simmetrica gestita dal cliente per facilitare l'accesso al segreto con una concessione e per crittografare e decrittografare il valore segreto.

Le chiavi gestite dal cliente consentono di eseguire attività come le seguenti:

  • Stabilire e mantenere le policy delle chiavi

  • Stabilire e mantenere IAM politiche e sovvenzioni

  • Abilitare e disabilitare le policy delle chiavi

  • Materiale chiave crittografico rotante

  • Aggiungere tag

    Per informazioni sull'utilizzo di Secrets Manager AWS KMS per proteggere i segreti, consulta l'argomento Come AWS Secrets Manager utilizza AWS KMS nella AWS Key Management Service Guida per gli sviluppatori.

    Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta la sezione Chiavi gestite dal cliente nel AWS Key Management Service Guida per gli sviluppatori.

Nota

AWS KMS si applicano costi per l'utilizzo di una chiave gestita dal cliente Per ulteriori informazioni sui prezzi, consulta la pagina dei prezzi del servizio di gestione delle AWS chiavi.

È possibile creare un AWS KMS chiave simmetrica gestita dal cliente utilizzando il AWS Management Console o programmaticamente con AWS KMS APIs.

Per creare una chiave simmetrica gestita dal cliente

Segui i passaggi per la creazione di una chiave simmetrica gestita dal cliente nel AWS Key Management Service Guida per gli sviluppatori.

Prendi nota della chiave Amazon Resource Name (ARN); ti serviràFase 2: Creare un AWS Secrets Manager Secret.

Contesto di crittografia

Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

Secrets Manager include un contesto di crittografia per la crittografia e la decrittografia di. SecretString Il contesto di crittografia include il segretoARN, che limita la crittografia a quel segreto specifico. Come ulteriore misura di sicurezza, MediaTailor crea un AWS KMS concedere per tuo conto. MediaTailor applica un'GrantConstraintsoperazione che ci consente solo di decrittografare il segreto SecretString associato al segreto ARN contenuto nel contesto di crittografia Secrets Manager.

Per informazioni su come Secrets Manager utilizza il contesto di crittografia, vedere l'argomento Contesto di crittografia nel AWS Key Management Service Guida per gli sviluppatori.

Impostazione della politica chiave

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la tua chiave gestita dai clienti, puoi utilizzare la politica delle chiavi predefinita. Per ulteriori informazioni, consulta Autenticazione e controllo degli accessi per AWS KMSnel AWS Key Management Service Guida per gli sviluppatori.

Per utilizzare la chiave gestita dal cliente con le risorse di localizzazione di MediaTailor origine, è necessario concedere IAM l'autorizzazione UpdateSourceLocational responsabile della chiamata CreateSourceLocationo utilizzare le seguenti API operazioni:

  • kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. MediaTailor crea una concessione sulla chiave gestita dal cliente che consente di utilizzare la chiave per creare o aggiornare una posizione di origine configurata con l'autenticazione tramite token di accesso. Per ulteriori informazioni sull'utilizzo di Grants in AWS KMS, vedi il AWS Key Management Service Guida per gli sviluppatori.

    Ciò consente di MediaTailor effettuare le seguenti operazioni:

    • Chiama Decrypt in modo che possa recuperare con successo il tuo segreto di Secrets Manager durante la chiamata GetSecretValue.

    • Chiama RetireGrant per ritirare la concessione quando la posizione di origine viene eliminata o quando l'accesso al segreto è stato revocato.

Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per: MediaTailor

{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica e sulla risoluzione dei problemi di accesso tramite chiave, vedere Concessioni in AWS KMSnel AWS Key Management Service Guida per gli sviluppatori.

Fase 2: Creare un AWS Secrets Manager Secret

Usa Secrets Manager per archiviare il tuo token di accesso sotto forma di un SecretString codice crittografato da un AWS KMS chiave gestita dal cliente. MediaTailorutilizza la chiave per decrittografare il. SecretString Per informazioni sull'utilizzo di Secrets Manager AWS KMS per proteggere i segreti, consulta l'argomento Come AWS Secrets Manager utilizza AWS KMS nella AWS Key Management Service Guida per gli sviluppatori.

Se usi AWS Elemental MediaPackage come origine della posizione di origine e desideri utilizzare l'autenticazione con token di accesso di MediaTailor Secrets Manager, segui la proceduraIntegrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN.

Puoi creare un segreto di Secrets Manager usando il AWS Management Console o programmaticamente con Secrets Manager. APIs

Per creare un segreto

Segui i passaggi per creare e gestire segreti con AWS Secrets Manager nel AWS Secrets Manager Guida per l'utente.

Tieni a mente le seguenti considerazioni quando crei il tuo segreto:

  • KmsKeyIdDeve essere la chiave ARN della chiave gestita dal cliente che hai creato nella Fase 1.

  • È necessario fornire un SecretString. SecretStringDovrebbe essere un JSON oggetto valido che include una chiave e un valore contenenti il token di accesso. Ad esempio, {» MyAccessTokenIdentifier «:"112233445566"}. Il valore deve avere una lunghezza compresa tra 8 e 128 caratteri.

    Quando si configura la posizione di origine con l'autenticazione tramite token di accesso, si specifica la SecretString chiave. MediaTailor utilizza la chiave per cercare e recuperare il token di accesso memorizzato in. SecretString

    Prendi nota del segreto ARN e della SecretString chiave. Li utilizzerai quando configurerai la tua posizione di origine per utilizzare l'autenticazione con token di accesso.

Allegare una politica segreta basata sulle risorse

Per consentire MediaTailor l'accesso al valore segreto, è necessario allegare al segreto una politica basata sulle risorse. Per ulteriori informazioni, consulta Allegare una politica di autorizzazioni a un AWS Secrets Manager Secret nel AWS Secrets Manager Guida per l'utente.

Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per MediaTailor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<secret ARN" } ] }

Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso

È possibile configurare l'autenticazione del token di accesso di Secrets Manager utilizzando il AWS Management Console o a livello di codice con. MediaTailor APIs

Per configurare una posizione di origine con l'autenticazione del token di accesso di Secrets Manager

Segui i passaggi indicati Access configuration nel AWS Elemental MediaTailor Guida per l'utente.