Autenticazione richiesta per SPEKE - Specifiche per lo scambio di chiavi Secure Packager ed Encoder API
Autenticazione per implementazioni AWS cloudAutenticazione per prodotti locali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione richiesta per SPEKE

SPEKErichiede l'autenticazione per i prodotti locali e per i servizi e le funzionalità eseguiti nel AWS cloud.

Autenticazione per implementazioni AWS cloud

SPEKErichiede AWS l'autenticazione tramite IAM ruoli per l'uso con un crittografo. IAMi ruoli vengono creati dal DRM provider o dall'operatore proprietario dell'DRMendpoint in un account. AWS A ogni ruolo viene assegnato un Amazon Resource Name (ARN), che l'operatore del servizio AWS Elemental fornisce sulla console di servizio quando richiede la crittografia. Le autorizzazioni relative alle policy del ruolo devono essere configurate in modo da consentire l'accesso al provider di chiavi API e nessun altro AWS accesso alle risorse. Quando il criptatore contatta il fornitore delle DRM chiavi, utilizza il ruolo ARN per assumere il ruolo di titolare dell'account del provider di chiavi, che restituisce le credenziali temporanee che il criptatore può utilizzare per accedere al fornitore delle chiavi.

Un'implementazione comune prevede che l'operatore o il fornitore della DRM piattaforma utilizzi Amazon API Gateway davanti al provider principale e quindi abiliti l'autorizzazione AWS Identity and Access Management (AWSIAM) sulla risorsa API Gateway. È possibile utilizzare il seguente esempio di definizione di policy e allegarlo a un nuovo ruolo per concedere le autorizzazioni alla risorsa appropriata. In questo caso, le autorizzazioni riguardano tutte le risorse API Gateway:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-west-2:*:*/*/GET/*"
            ]
        }
    ]
}

Infine, il ruolo richiede l'aggiunta di una relazione di affidabilità e l'operatore deve essere in grado di selezionare il servizio.

L'esempio seguente mostra un ruolo ARN creato per accedere al provider di DRM chiavi:

arn:aws:iam::2949266363526:role/DRMKeyServer

Per ulteriori informazioni sulla creazione di un ruolo, vedere AWS AssumeRole. Per ulteriori informazioni sulla firma di una richiesta, vedere AWSSigv4.

Autenticazione per prodotti locali

Per i prodotti locali, si consiglia di utilizzare l'autenticazioneSSL/TLSe digest per la massima sicurezza, ma come minimo è consigliabile utilizzare l'autenticazione di base su. HTTPS

Entrambi i tipi di autenticazione utilizzano l'Authorizationintestazione nella richiesta: HTTP

  • Autenticazione Digest: l'intestazione di autorizzazione è costituita dall'identificatore Digest seguito da una serie di valori che autenticano la richiesta. In particolare, un valore di risposta viene generato tramite una serie di funzioni MD5 hash che includono un one-time-use nonce univoco proveniente dal server che viene utilizzato per garantire che la password viaggi in modo sicuro.

  • Autenticazione di base: l'intestazione di autorizzazione è costituita dall'identificatore Basic seguito da una stringa codificata in base 64 che rappresenta il nome utente e la password, separati da due punti.

Per informazioni sull'autenticazione di base e digest, incluse informazioni dettagliate sull'intestazione, consultate la specifica RFC2617 della Internet Engineering Task Force (IETF) - HTTP Authentication: Basic and Digest Access Authentication.