SigV4 との AWS Elemental MediaTailor オリジンインタラクションの保護 - AWS Elemental MediaTailor
MediaTailor チャネルアセンブリの要件Amazon S3 の要件MediaPackage 要件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SigV4 との AWS Elemental MediaTailor オリジンインタラクションの保護

Signature Version 4 (SigV4) は、 でサポートされているオリジンへの MediaTailor リクエストを認証するために使用される署名プロトコルですHTTPS。SigV4 署名では、署名付き認可ヘッダーが MediaTailor Channel Assembly、Amazon S3、 AWS Elemental MediaPackage バージョン 2 へのHTTPSオリジンリクエスト MediaTailor に含まれます。

オリジンで SigV4 を使用して、マニフェストリクエストが署名付き認可ヘッダーから送信 MediaTailor され、含まれている場合にのみ、マニフェストリクエストが満たされるようにすることができます。これにより、不正な MediaTailor再生設定はオリジンコンテンツへのアクセスをブロックされます。署名付きの認可ヘッダーが有効である場合は、オリジンがリクエストに対応します。有効でない場合は、リクエストが失敗します。

以下のセクションでは、サポートされているオリジンに MediaTailor SigV4 署名を使用するための要件について説明します。

MediaTailor チャネルアセンブリの要件

SigV4 を使用して MediaTailor Channel Assembly オリジンを保護する場合、マニフェストにアクセスするには、 MediaTailor で次の要件を満たしている必要があります。

  • MediaTailor 設定URLのオリジンベースは、次の形式のチャネルアセンブリチャネルである必要があります。 channel-assembly.mediatailor.region.amazonaws.com

  • オリジンは を使用するように設定する必要がありますHTTPS。オリジンで が有効になっていHTTPSない場合、 MediaTailor はリクエストに署名しません。

  • チャネルには、以下を含むオリジンアクセスポリシーが必要です。

    • チャネルにアクセス MediaTailor するための のプリンシパルアクセス。mediatailor.amazonaws.com へのアクセスを許可します。

    • IAM MediaTailor 設定で参照されるすべての最上位マニフェストを読み取るための mediatailor:GetManifest のアクセス許可。

    チャネルでポリシーを設定する方法については、「」を参照してください MediaTailor コンソールを使用してチャンネルを作成する

例 Channel Assembly のオリジンアクセスポリシー、 MediaTailor 設定アカウントの範囲
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
例 Channel Assembly のオリジンアクセスポリシー、 MediaTailor 再生設定の範囲
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}

Amazon S3 の要件

SigV4 を使用して Amazon S3 オリジンを保護する場合、マニフェストにアクセスするには、 MediaTailor で以下の要件を満たしている必要があります。

  • MediaTailor 設定URLのオリジンベースは、次の形式の S3 バケットである必要があります。 s3.region.amazonaws.com

  • オリジンは を使用するように設定する必要がありますHTTPS。オリジンで が有効になっていHTTPSない場合、 MediaTailor はリクエストに署名しません。

  • チャネルには、以下を含むオリジンアクセスポリシーが必要です。

    • バケットにアクセス MediaTailor するための のプリンシパルアクセス。mediatailor.amazonaws.com へのアクセスを許可します。

      でアクセスを設定する方法についてはIAM、「アイデンティティとアクセス管理ユーザーガイド」の「アクセス管理」を参照してください。 AWS

    • IAM アクセス許可 s3:GetObject MediaTailor 設定で参照されるすべての最上位マニフェストを読み取る。

Amazon S3 用 SigV4 の一般的な情報については、Amazon S3 APIリファレンス「Authenticating Requests (AWS Signature Version 4)」トピックを参照してください。

例 Amazon S3 のオリジンアクセスポリシー、 MediaTailor アカウントの範囲
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
例 Amazon S3 のオリジンアクセスポリシー、 MediaTailor 再生設定の範囲
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}

MediaPackage 要件

SigV4 を使用して MediaPackage v2 オリジンを保護する場合、マニフェストにアクセスするには、 MediaTailor で以下の要件を満たしている必要があります。

  • MediaTailor 設定URLのオリジンベースは、次の形式の MediaPackage v2 エンドポイントである必要があります。 mediapackagev2.region.amazonaws.com

  • オリジンは を使用するように設定する必要がありますHTTPS。オリジンで が有効になっていHTTPSない場合、 MediaTailor はリクエストに署名しません。

  • チャネルには、以下を含むオリジンアクセスポリシーが必要です。

    • エンドポイントにアクセス MediaTailor するための のプリンシパルアクセス。mediatailor.amazonaws.com へのアクセスを許可します。

    • IAM mediapackagev2:GetObject MediaTailor 設定で参照されるすべての最上位マニフェストを読み取るアクセス許可。

SigV4 for MediaPackage v2 の一般的な情報については、MediaPackage v2 APIリファレンス「Authenticating Requests (AWS Signature Version 4)」トピックを参照してください。

例 MediaPackage v2 のオリジンアクセスポリシー、 MediaTailor アカウントの範囲
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
例 MediaPackage v2 のオリジンアクセスポリシー、 MediaTailor 再生設定の範囲
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}