に必要な認証 SPEKE - Secure Packager と Encoder Key Exchange APIの仕様
AWS クラウド実装の認証オンプレミス製品の認証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

に必要な認証 SPEKE

SPEKE では、オンプレミス製品と、 AWS クラウドで実行される のサービスおよび機能の認証が必要です。

AWS クラウド実装の認証

SPEKE エンクリプタで使用するには、 IAMロールによるAWS認証が必要です。IAM ロールは、DRMプロバイダーまたはAWSアカウントのDRMエンドポイントを所有するオペレーターによって作成されます。各ロールには Amazon リソースネーム (ARN) が割り当てられ、Elemental AWS サービスオペレーターは暗号化をリクエストするときにサービスコンソールでこれを提供します。ロールのポリシーのアクセス許可は、キープロバイダーにアクセスするためのアクセス許可を付与APIし、他のAWSリソースにアクセスしないように設定する必要があります。エンクリプタがDRMキープロバイダーに連絡すると、 ロールを使用してキープロバイダーアカウント所有者のロールをARN引き受けます。これにより、エンクリプタがキープロバイダーにアクセスするために使用する一時的な認証情報が返されます。

一般的な実装の 1 つは、オペレーターまたはDRMプラットフォームベンダーがキープロバイダーの前に Amazon API Gateway を使用し、APIゲートウェイリソースで AWS Identity and Access Management (AWS IAM) 認証を有効にすることです。次のポリシー定義の例を使用し、新しいロールにアタッチして、適切なリソースにアクセス権限を与えることができます。この場合、アクセス許可はすべてのAPIゲートウェイリソースに対するものです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-west-2:*:*/*/GET/*"
            ]
        }
    ]
}

最後に、ロールには信頼関係を追加する必要があり、オペレータはサービスを選択できる必要があります

次の例は、DRMキープロバイダーにアクセスするためにARN作成されたロールを示しています。

arn:aws:iam::2949266363526:role/DRMKeyServer

ロールの作成の詳細については、「」を参照してくださいAWS AssumeRole。リクエストの署名の詳細については、AWS「Sigv4」を参照してください。

オンプレミス製品の認証

オンプレミス製品では、セキュリティを最適化するために SSL/TLS とダイジェスト認証を使用することをお勧めしますが、少なくとも で基本認証を使用する必要がありますHTTPS。

どちらの認証タイプも、HTTPリクエストで Authorizationヘッダーを使用します。

  • ダイジェスト認証 – 認証ヘッダーは、識別子 Digest に続いて、リクエストを認証する一連の値で構成されます。具体的には、パスワードを安全に移動させるために使用されるサーバーからの一意の one-time-use ゼロを含む一連のMD5ハッシュ関数を通じてレスポンス値が生成されます。

  • 基本認証 – 権限ヘッダーは、識別子 Basic とそれに続くコロンで区切られたユーザー名とパスワードを表す base-64 でエンコードされた文字列で構成されます。

ヘッダーに関する詳細情報を含む基本認証とダイジェスト認証の詳細については、「Internet Engineering Task Force (IETF) specification RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication」を参照してください。