設定 AWS Secrets Manager アクセストークン認証 - AWS Elemental MediaTailor
ステップ 1: を作成する AWS KMS 対称カスタマーマネージドキーステップ 2: を作成する AWS Secrets Manager シークレットステップ 3: アクセストークン認証を使用して MediaTailor ソースロケーションを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定 AWS Secrets Manager アクセストークン認証

を使用する場合 AWS Secrets Manager アクセストークン認証では、次の手順を実行します。

  1. を作成する AWS Key Management Service カスタマーマネージドキー

  2. を作成する AWS Secrets Manager シークレット 。シークレットにはアクセストークンが含まれており、暗号化されたシークレット値として Secrets Manager に保存されます。 は MediaTailor を使用します。 AWS KMS シークレット値を復号するための カスタマーマネージドキー。

  3. を設定する AWS Elemental MediaTailor Secrets Manager アクセストークン認証を使用するソースの場所。

次のセクションでは、 の設定方法に関する step-by-step ガイダンスを提供します。 AWS Secrets Manager アクセストークン認証。

ステップ 1: を作成する AWS KMS 対称カスタマーマネージドキー

を使用する AWS Secrets Manager シークレットにSecretString保存された の形式でアクセストークンを保存する 。SecretString は、 を使用して暗号化されます。 AWS KMS ユーザーが作成、所有、管理する対称カスタマーマネージドキー。 は、対称カスタマーマネージドキー MediaTailor を使用して、権限のあるシークレットへのアクセスを容易にし、シークレット値を暗号化および復号します。

カスタマーマネージドキーを使用することで、以下のようなタスクを実行できます。

  • キーポリシーの策定と維持

  • IAM ポリシーと許可の確立と維持

  • キーポリシーの有効化と無効化

  • 暗号化キーマテリアルのローテーション

  • タグの追加

    Secrets Manager が を使用する方法の詳細については、「」を参照してください。 AWS KMS シークレットを保護するには、「How」トピックを参照してください。 AWS Secrets Manager uses AWS KMS ()AWS Key Management Service デベロッパーガイド

    カスタマーマネージドキーの詳細については、「」の「カスタマーマネージドキー」を参照してください。 AWS Key Management Service デベロッパーガイド

注記

AWS KMS カスタマーマネージドキーの使用には 料金が適用されます。料金の詳細については、AWS「 Key Management Service の料金」ページを参照してください。

を作成できます。 AWS KMS を使用した対称カスタマーマネージドキー AWS Management Console または を使用してプログラムで AWS KMS APIs.

対称カスタマーマネージドキーを作成するには

「」の「対称カスタマーマネージドキーの作成」の手順に従います。 AWS Key Management Service デベロッパーガイド。

キー Amazon リソースネーム (ARN) を書き留めておきます。 で必要になりますステップ 2: を作成する AWS Secrets Manager シークレット

暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報が含まれたキーバリューペアのオプションのセットです。

Secrets Manager は、SecretString を暗号化および復号化するときに暗号化コンテキストを含めます。暗号化コンテキストにはシークレット が含まれておりARN、暗号化はその特定のシークレットに制限されます。セキュリティの追加手段として、 は MediaTailor を作成します。 AWS KMS ユーザーに代わって を付与します。 MediaTailor は、Secrets Manager の暗号化コンテキストARNに含まれるシークレットSecretStringに関連付けられた のみを復号化できるようにするGrantConstraintsオペレーションを適用します。

Secrets Manager が暗号化コンテキストを使用する方法については、「」の「暗号化コンテキスト」トピックを参照してください。 AWS Key Management Service デベロッパーガイド

キーポリシーの設定

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つ必要になります。このポリシーには、そのキーを使用できるユーザーとその使用方法を規定するステートメントが含まれています。カスタマーマネージドキーを作成するときは、デフォルトのキーポリシーを使用できます。詳細については、「 の認証とアクセスコントロール」を参照してください。 AWS KMSAWS Key Management Service デベロッパーガイド

MediaTailor ソースロケーションリソースでカスタマーマネージドキーを使用するには、 が呼び出すIAMプリンシパルに、CreateSourceLocationまたは次のAPIオペレーションを使用するUpdateSourceLocationアクセス許可を付与する必要があります。

  • kms:CreateGrant - カスタマーマネージドキーに許可を追加します。 MediaTailor は、カスタマーマネージドキーに許可を作成し、そのキーを使用してアクセストークン認証で設定されたソースロケーションを作成または更新できるようにします。での Grants の使用の詳細については、「」を参照してください。 AWS KMS、「」を参照してください。 AWS Key Management Service デベロッパーガイド。

    これにより、 MediaTailor は以下を実行できます。

    • Decrypt を呼び出すときに Secrets Manager シークレットを正常に取得できるように、 を呼び出しますGetSecretValue

    • ソースロケーションが削除された、またはシークレットへのアクセス権が取り消されたときにグラントを廃止するために RetireGrant を呼び出す。

以下は、 に追加できるポリシーステートメントの例です MediaTailor。

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

ポリシーでのアクセス許可の指定とキーアクセスのトラブルシューティングの詳細については、「 のグラント」を参照してください。 AWS KMSAWS Key Management Service デベロッパーガイド

ステップ 2: を作成する AWS Secrets Manager シークレット

Secrets Manager を使用して、 によって暗号化SecretStringされた の形式でアクセストークンを保存する AWS KMS カスタマーマネージドキー。 MediaTailor は キーを使用して を復号しますSecretString。Secrets Manager が を使用する方法の詳細については、「」を参照してください。 AWS KMS シークレットを保護するには、「How」トピックを参照してください。 AWS Secrets Manager uses AWS KMS ()AWS Key Management Service デベロッパーガイド

を使用する場合 AWS Elemental MediaPackage をソースロケーションオリジンとして、 MediaTailor Secrets Manager アクセストークン認証を使用する場合は、「」の手順に従いますCDN 認証を使用する MediaPackage エンドポイントとの統合

を使用して Secrets Manager シークレットを作成できます。 AWS Management Console または、Secrets Manager を使用してプログラムでAPIs。

シークレットを作成する

を使用してシークレットを作成および管理するためのステップに従います。 AWS の Secrets Manager AWS Secrets Manager ユーザーガイド

シークレットを作成するときは、以下の考慮事項に留意してください。

  • は、ステップ 1 で作成したカスタマーマネージドキーARNのキーKmsKeyIdである必要があります。

  • SecretString を提供する必要があります。は、アクセストークンを含むキーと値を含む有効なJSONオブジェクトSecretStringである必要があります。例えば、{"MyAccessTokenIdentifier"112233445566"} です。値の長さは 8~128 文字にしてください。

    アクセストークン認証を使用してソースロケーションを設定するときは、SecretString キーを指定します。 MediaTailor は キーを使用して、 に保存されているアクセストークンを検索および取得しますSecretString

    シークレットARNとSecretStringキーを書き留めます。これらは、アクセストークン認証を使用するようにソースロケーションを設定するときに使用します。

リソースベースのシークレットポリシーのアタッチ

がシークレット値 MediaTailor にアクセスできるようにするには、リソースベースのポリシーをシークレットにアタッチする必要があります。詳細については、「 にアクセス許可ポリシーをアタッチする」を参照してください。 AWS の Secrets Manager シークレット AWS Secrets Manager ユーザーガイド

以下は、 に追加できるポリシーステートメントの例です MediaTailor。

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "<secret ARN" 
        } 
    ] 

}

ステップ 3: アクセストークン認証を使用して MediaTailor ソースロケーションを設定する

を使用して Secrets Manager アクセストークン認証を設定できます。 AWS Management Console またはプログラムで を使用します MediaTailor APIs。

Secrets Manager アクセストークン認証でソースロケーションを設定する

Access configurationのステップに従います。 AWS Elemental MediaTailor ユーザーガイド