本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置CDN授权
完成以下步骤来设置CDN授权。
主题
步骤 1:配置CDN自定义来源HTTP标头
在您的中CDN,配置包含HTTP标头X-MediaPackage-CDNIdentifier
和值的自定义 Origin 标头。对于该值,我们建议您使用UUID版本 4
如果您配置CDN了授权标头,则在终端节点上启用CDN授权之前,将 MediaPackage 返回错误 404。
重要
您选择的值应为静态值。你的和之间没有原生集成 AWS Secrets Manager,因此你的CDN和中的值都应该是静态的CDN AWS Secrets Manager。如果您在配置您的CDN和您的密钥后更改此值,则必须手动轮换该值。有关更多信息,请参阅 旋转标CDN题值。
标头和值示例
X-MediaPackage-CDNIdentifier:
9ceebbe7-9607-4552-8764-876e47032660
在 Amazon 中创建自定义标题 CloudFront
登录 AWS Management Console 并打开 CloudFront 控制台,网址为https://console.aws.amazon.com/cloudfront/v4/home
。 -
创建或编辑分配。
-
在 Origin Settings (源设置) 中,填写字段。您将在 Secrets Manager 中对密钥使用相同的值。
-
对于 Header Name (标头名称),输入
X-MediaPackage-CDNIdentifier
。 -
对于值,输入值。我们建议您使用UUID版本 4 格式,该格式生成 36 个字符的字符串。如果您不使用UUID版本 4 格式,则该值的长度必须为 8-128 个字符。
-
-
完成其余字段并保存分配。
有关自定义标题的更多信息 CloudFront,请参阅《亚马逊 CloudFront 开发者指南》中的将客户标题转发到您的来源。
第 2 步:将值作为密钥存储在 AWS Secrets Manager
将您在自定义 Origin HTTP 标头中使用的相同值存储为密钥 AWS Secrets Manager。该密钥必须使用与您的 AWS Elemental MediaPackage 资源相同的 AWS 账户和区域设置。 MediaPackage不支持跨账号或地区共享密钥。但是,您可以在同一区域和同一账户上跨多个终端节点使用同一个密钥。
要在 Secrets Manager 中存储密钥
-
登录 AWS Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。 -
选择 存储新密钥。对于密钥类型,选择其他密钥类型。
-
对于键/值对,输入键和值信息。
-
在左侧的框中,输入
MediaPackageCDNIdentifier
。 -
在右侧的框中,输入您为自定义来源HTTP标头配置的值。例如,
9ceebbe7-9607-4552-8764-876e47032660
。
-
-
对于加密密钥,您可以将默认值保留为DefaultEncryptionKey。
-
选择下一步。
-
对于 Secret name (密钥名称),我们建议您为它添加前缀
MediaPackage/
,以便您知道它是用于 MediaPackage 的密钥。例如,MediaPackage/cdn_auth_us-west-2
。 -
选择下一步。
-
对于 Configure automatic rotation (配置自动轮换),保留默认的 Disable automatic rotation (禁用自动轮换) 设置。
如果您以后需要轮换授权代码,请参阅 旋转标CDN题值。
-
选择 Next (下一步),然后选择 Store (存储)。
这将转到您的密钥列表。
-
选择您的密钥名称以查看密钥ARN。ARN的值类似于
arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx
。在 MediaPackage 中的步骤 4:启用CDNCDN授权中为配置授权ARN时,您将使用该密钥 MediaPackage。
第 3 步:为 MediaPackage 访问 Secrets Manager 创建IAM策略和角色
创建IAM策略和角色以授予对 Secrets Manager 的 MediaPackage 读取权限。当 MediaPackage 收到来自的播放请求时CDN,它会验证存储的密钥值是否与自定义HTTP标头中的值相匹配。按照AWS Elemental MediaPackage 允许访问其他 AWS 服务中的步骤设置策略和角色。
步骤 4:在中启用CDN授权 MediaPackage
您可以使用 MediaPackage 控制台、 AWS CLI或为您的终端节点或视频点播 (VOD) 打包组启用CDN授权 MediaPackage API。您可以使用在ARN步骤 3:创建 MediaPackage 访问 Secrets Manager 的IAM策略和角色中创建的策略和角色。IAM
提示
在同一区域和同一账户上跨多个终端节点使用相同的密钥。仅当工作流需要时,才能通过创建新密钥来降低成本。
如果您配置CDN了授权标头,则在终端节点上启用CDN授权之前,将 MediaPackage 返回错误 404。
使用控制台为直播内容启用CDN授权
打开 MediaPackage 控制台,网址为https://console.aws.amazon.com/mediapackage/
。 -
如果您还没有通道,请创建一个通道。有关帮助信息,请参阅 创建通道。
-
创建或编辑终端节点。
-
在访问控制设置中,选择使用CDN授权。填写以下字段:
-
在密钥角色中 ARNARN,输入您在中创建的IAM角色的第 3 步:为 MediaPackage 访问 Secrets Manager 创建IAM策略和角色。
-
在CDN标识符密钥中ARN,在 ARN Secrets Manager 中输入CDN用于授权访问终端节点的密钥。
-
-
根据需要完成剩余字段并保存终端节点。
使用控制台为VOD内容启用CDN授权
打开 MediaPackage 控制台,网址为https://console.aws.amazon.com/mediapackage/
。 -
如果您还没有VOD打包组,请创建一个打包组。有关帮助信息,请参阅 创建打包组。
-
创建或编辑打包组。
-
在配置访问控制中,选择启用授权。填写以下字段:
-
在密钥角色中 ARNARN,输入您在中创建的IAM角色的第 3 步:为 MediaPackage 访问 Secrets Manager 创建IAM策略和角色。
-
在CDN标识符密钥中ARN,在 ARN Secrets Manager 中输入CDN用于授权访问终端节点的密钥。
-
-
根据需要完成剩余字段并保存打包组。
现在,您已经完成了CDN授权设置。对此端点的请求必须包含您在 Secrets Manager 中保存的相同授权代码。
要启用CDN授权,请使用 MediaPackage API
有关使用启用CDN授权的信息 MediaPackage API,请参阅以下API参考资料: