Autenticação necessária para SPEKE - Especificação do Secure Packager and Encoder Key Exchange API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação necessária para SPEKE

SPEKEexige autenticação para produtos locais e para serviços e recursos executados na AWS nuvem.

Autenticação para implementações AWS em nuvem

SPEKErequer AWS autenticação por meio de IAM funções para uso com um criptografador. IAMas funções são criadas pelo DRM provedor ou pelo operador proprietário do DRM endpoint em uma AWS conta. Cada função recebe um Amazon Resource Name (ARN), que o operador do serviço AWS Elemental fornece no console de serviço ao solicitar criptografia. As permissões da política da função devem ser configuradas para dar permissão para acessar o provedor de chaves API e nenhum outro acesso a AWS recursos. Quando o criptografador entra em contato com o provedor da DRM chave, ele usa a função ARN para assumir a função do titular da conta do provedor da chave, que retorna credenciais temporárias para o criptografador usar para acessar o provedor da chave.

Uma implementação comum é que o operador ou fornecedor da DRM plataforma use o Amazon API Gateway na frente do provedor principal e, em seguida, habilite a autorização do AWS Identity and Access Management (AWSIAM) no recurso do API Gateway. Você pode usar o seguinte exemplo de definição de política e anexá-lo a uma nova função para conceder as permissões adequadas ao recurso. Nesse caso, as permissões são para todos os recursos do API Gateway:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-west-2:*:*/*/GET/*" ] } ] }

Por fim, a função requer a adição de uma relação de confiança, e o operador deve ser capaz de selecionar o serviço.

O exemplo a seguir mostra uma função ARN criada para acessar o provedor de DRM chaves:

arn:aws:iam::2949266363526:role/DRMKeyServer

Para obter mais informações sobre a criação de uma função, consulte AWS AssumeRole. Para obter mais informações sobre como assinar uma solicitação, consulte AWSSigv4.

Autenticação para produtos on-premises

Para produtos locais, recomendamos que você use a autenticaçãoSSL/TLSe digest para obter a melhor segurança, mas, no mínimo, você deve usar a autenticação básica novamente. HTTPS

Os dois tipos de autenticação usam o Authorization cabeçalho na HTTP solicitação:

  • Autenticação Digest – O cabeçalho de autorização consiste no identificador Digest seguido por uma série de valores que autenticam a solicitação. Especificamente, um valor de resposta é gerado por meio de uma série de funções de MD5 hash que incluem um one-time-use nonce exclusivo do servidor que é usado para garantir que a senha seja transmitida com segurança.

  • Autenticação Basic – O cabeçalho de autorização consiste no identificador Basic seguido por uma string codificada no formato base-64 que representa o nome de usuário e a senha, separados por dois-pontos.

Para obter informações sobre autenticação básica e resumida, incluindo informações detalhadas sobre o cabeçalho, consulte a especificação RFC2617 da Internet Engineering Task Force (IETF) - HTTP Autenticação: autenticação de acesso básico e resumido.