本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

步骤 1：创建 AWS KMS 对称的客户托管密钥

您用来 AWS Secrets Manager 以存储在密钥中的形式SecretString存储访问令牌。使用您创建、拥有和管理的AWS KMS 对称客户托管密钥进行加密。SecretString MediaTailor 使用对称的客户托管密钥来简化对密钥的访问（通过授权），并加密和解密密密钥值。

客户托管密钥允许您执行以下任务：

您可以使用 AWS Management Console 或以编程方式创建 AWS KMS 对称的客户托管密钥。 AWS KMS APIs

创建对称的客户托管密钥

按照《AWS Key Management Service 开发人员指南》中创建对称客户托管密钥的步骤进行操作。

记下关键的 Amazon 资源名称 (ARN)；你需要它第 2 步：创建 AWS Secrets Manager 密钥。

加密上下文

加密上下文是一组可选的键值对，包含有关数据的其他上下文信息。

Secrets Manager 在加密和解密时包含加密上下文。SecretString加密上下文包括密钥ARN，该密钥将加密限制在该特定机密范围内。作为一项额外的安全措施，请代表您 MediaTailor 创建 AWS KMS 补助金。 MediaTailor 应用的GrantConstraints操作仅允许我们解密与 Sec rets Manager 加密上下ARN文中包含的密钥SecretString关联的内容。

有关 Secrets Manager 如何使用加密上下文的信息，请参阅AWS Key Management Service 开发者指南中的加密上下文主题。

设置密钥策略

密钥策略控制对客户托管密钥的访问。每个客户托管式密钥必须只有一个密钥政策，其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管密钥时，您可以使用默认密钥策略。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》 AWS KMS中的身份验证和访问控制。

要将您的客户托管密钥与您的 MediaTailor 来源位置资源一起使用，您必须向调用CreateSourceLocation或UpdateSourceLocation使用以下API操作的IAM委托人授予权限：

以下是您可以为其添加的策略声明示例 MediaTailor：

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

有关在策略中指定权限以及对密钥访问进行故障排除的更多信息，请参阅《AWS Key Management Service 开发人员指南》AWS KMS中的授权。