Protegendo as interações de AWS Elemental MediaTailor origem com o SigV4 - AWS Elemental MediaTailor
MediaTailor Requisitos de montagem do canalRequisitos do Amazon S3MediaPackage requisitos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Protegendo as interações de AWS Elemental MediaTailor origem com o SigV4

O Signature Version 4 (SigV4) é um protocolo de assinatura usado para autenticar MediaTailor solicitações em origens suportadas. HTTPS Com a assinatura SigV4, MediaTailor inclui um cabeçalho de autorização assinado na solicitação de HTTPS origem para MediaTailor Channel Assembly, Amazon S3 AWS Elemental MediaPackage e versão 2.

Você pode usar o SigV4 em sua origem para garantir que as solicitações de manifesto sejam atendidas somente se forem de MediaTailor e contiverem um cabeçalho de autorização assinado. Dessa forma, configurações de MediaTailor reprodução não autorizadas são impedidas de acessar seu conteúdo original. Se o cabeçalho de autorização assinado for válido, sua origem atenderá à solicitação. Se não for válido, a solicitação falhará.

As seções a seguir descrevem os requisitos para usar a assinatura MediaTailor SigV4 nas origens suportadas.

MediaTailor Requisitos de montagem do canal

Se você usa o SigV4 para proteger sua origem de montagem de MediaTailor canais, os seguintes requisitos devem ser atendidos MediaTailor para acessar o manifesto:

  • A base de origem URL em sua MediaTailor configuração deve ser um canal de montagem de canais no seguinte formato: channel-assembly.mediatailor.region.amazonaws.com

  • Sua origem deve estar configurada para usoHTTPS. Se não HTTPS estiver habilitado na origem, não MediaTailor assinará a solicitação.

  • Seu canal deve ter uma política de acesso de origem que inclua o seguinte:

    • Acesso principal MediaTailor para acessar seu canal. Conceda acesso a mediatailor.amazonaws.com.

    • IAMpermissions mediatailor: GetManifest para ler todos os manifestos de nível superior referenciados pela configuração. MediaTailor

    Para obter informações sobre como definir uma política no canal, consulteCrie um canal usando o MediaTailor console.

exemplo política de acesso de origem para Channel Assembly, com escopo na conta MediaTailor de configuração
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
exemplo política de acesso de origem para Channel Assembly, com escopo de acordo com a configuração de MediaTailor reprodução
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}

Requisitos do Amazon S3

Se você usa o SigV4 para proteger sua origem do Amazon S3, os seguintes requisitos devem ser atendidos MediaTailor para acessar o manifesto:

  • A base de origem URL em sua MediaTailor configuração deve ser um bucket S3 no seguinte formato: s3.region.amazonaws.com

  • Sua origem deve estar configurada para usoHTTPS. Se não HTTPS estiver habilitado na origem, não MediaTailor assinará a solicitação.

  • Seu canal deve ter uma política de acesso de origem que inclua o seguinte:

    • Acesso principal MediaTailor para acessar seu bucket. Conceda acesso a mediatailor.amazonaws.com.

      Para obter informações sobre como configurar o acesso emIAM, consulte Gerenciamento de acesso no AWSIdentity and Access Management User Guide.

    • IAMpermissões s3: GetObject para ler todos os manifestos de nível superior referenciados pela configuração. MediaTailor

Para obter informações gerais sobre o SigV4 para o Amazon S3, consulte o tópico Solicitações de autenticação AWS (assinatura versão 4) na referência do Amazon S3. API

exemplo política de acesso de origem para o Amazon S3, com escopo definido para a conta MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
exemplo política de acesso de origem para o Amazon S3, com escopo de acordo com a configuração de reprodução MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}

MediaPackage requisitos

Se você usa o SigV4 para proteger sua origem MediaPackage v2, os seguintes requisitos devem ser atendidos MediaTailor para acessar o manifesto:

  • A base de origem URL em sua MediaTailor configuração deve ser um endpoint MediaPackage v2 no seguinte formato: mediapackagev2.region.amazonaws.com

  • Sua origem deve estar configurada para usoHTTPS. Se não HTTPS estiver habilitado na origem, não MediaTailor assinará a solicitação.

  • Seu canal deve ter uma política de acesso de origem que inclua o seguinte:

    • Acesso principal para MediaTailor acessar seu endpoint. Conceda acesso a mediatailor.amazonaws.com.

    • IAMpermissions mediapackagev2: GetObject para ler todos os manifestos de nível superior referenciados pela configuração. MediaTailor

Para obter informações gerais sobre o SigV4 para MediaPackage v2, consulte o tópico Solicitações de autenticação (AWSassinatura versão 4) na referência da v2. MediaPackage API

exemplo política de acesso de origem para MediaPackage v2, com escopo definido para a conta MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
exemplo política de acesso de origem para MediaPackage v2, com escopo de acordo com a configuração de reprodução MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}