本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
签名版本 4 (Sigv4) 是一种签名协议,用于通过 HTTPS 对发往受支持来源的 MediaTailor 请求进行身份验证。使用 Sigv4 签名,在向 MediaTailor 频道组装、Amazon S3 和 AWS Elemental MediaPackage 版本 2 发出的HTTPS源请求中 MediaTailor 包含签名的授权标头。
你可以在源站使用 SigV4 来确保清单请求只有来自 MediaTailor 并包含签名的授权标头时才会得到满足。这样,未经授权的 MediaTailor播放配置就会被阻止访问您的原始内容。如果签名的授权标头有效,则您的来源满足请求。如果无效,则请求失败。
以下各节描述了对支持的源使用 MediaTailor Sigv4 签名的要求。
MediaTailor 频道组装要求
如果您使用 SigV4 来保护您的 MediaTailor 频道集合来源,则必须满足以下要求 MediaTailor 才能访问清单:
-
您的 MediaTailor 配置中的来源基本 URL 必须是采用以下格式的频道集合频道:
channel-assembly.mediatailor.region.amazonaws.com -
您的源必须配置为使用 HTTPS。如果源站未启用 HTTPS,则 MediaTailor 不会对请求进行签名。
-
您的频道必须有包含以下内容的源站访问政策:
-
访问您的频道 MediaTailor 的委托人访问权限。授予访问 mediata ilor.amazonaws.com 的访问权限。
-
IAM 权限 mediatailor:GetManifest 用于读取配置引用的所有顶级清单。 MediaTailor
有关在频道上设置政策的信息,请参阅使用 MediaTailor 控制台创建频道。
-
例 Channel Assembly 的源站访问策略,范围限于 MediaTailor 配置账户
{
"Effect": "Allow",
"Principal": {"Service": "mediatailor.amazonaws.com"},
"Action": "mediatailor:GetManifest",
"Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
"Condition": {
"StringEquals": {"AWS:SourceAccount": "777788889999"}
}
}例 Channel Assembly 的源站访问策略,范围限于 MediaTailor 播放配置
{
"Effect": "Allow",
"Principal": {"Service": "mediatailor.amazonaws.com"},
"Action": "mediatailor:GetManifest",
"Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
"Condition": {
"StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
}
}亚马逊 S3 要求
如果您使用 Sigv4 来保护您的 Amazon S3 来源,则必须满足以下要求 MediaTailor 才能访问清单:
-
您的 MediaTailor 配置中的源基本 URL 必须是采用以下格式的 S3 存储桶:
s3.region.amazonaws.com -
您的源必须配置为使用 HTTPS。如果源站未启用 HTTPS,则 MediaTailor 不会对请求进行签名。
-
您的频道必须有包含以下内容的源站访问政策:
-
访问您的存储桶 MediaTailor 的委托人访问权限。授予访问 mediata ilor.amazonaws.com 的访问权限。
有关在 IAM 中配置访问权限的信息,请参阅 A WS Identity and A c cess Management 用户指南中的访问管理。
-
IAM 权限 s3:GetObject 读取 MediaTailor 配置引用的所有顶级清单。
-
有关亚马逊 S3 版 Sigv4 的一般信息,请参阅亚马逊 S3 API 参考中的身份验证请求(AWS 签名版本 4)主题。
例 Amazon S3 的源站访问策略,范围限于账户 MediaTailor
{
"Effect": "Allow",
"Principal": {"Service": "mediatailor.amazonaws.com"},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::mybucket/*",
"Condition": {
"StringEquals": {"AWS:SourceAccount": "111122223333"}
}
}例 Amazon S3 的源站访问策略,范围限于 MediaTailor 播放配置
{
"Effect": "Allow",
"Principal": {"Service": "mediatailor.amazonaws.com"},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::mybucket/*",
"Condition": {
"StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
}
}MediaPackage 要求
如果您使用 SigV4 来保护您的 MediaPackage v2 来源,则必须满足以下要求 MediaTailor 才能访问清单:
-
您的 MediaTailor 配置中的源基本 URL 必须是采用以下格式的 MediaPackage v2 终端节点:
mediapackagev2.region.amazonaws.com -
您的源必须配置为使用 HTTPS。如果源站未启用 HTTPS,则 MediaTailor 不会对请求进行签名。
-
您的频道必须有包含以下内容的源站访问政策:
-
访问您的终端节点 MediaTailor 的委托人访问权限。授予访问 mediata ilor.amazonaws.com 的访问权限。
-
IAM 权限 mediapackagev2:GetObject 用于读取配置引用的所有顶级清单。 MediaTailor
-
有关 v2 版 Sigv4 的一般信息,请参阅 MediaPackage v2 API 参考中的身份验证请求(AWS 签名版本 4)主题。MediaPackage
例 MediaPackage v2 的源站访问策略,范围限于账户 MediaTailor
{
"Effect": "Allow",
"Principal": {"Service": "mediatailor.amazonaws.com"},
"Action": "mediapackagev2:GetObject",
"Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
"Condition": {
"StringEquals": {"AWS:SourceAccount": "444455556666"}
}
}例 MediaPackage v2 的源站访问策略,范围限于播放配置 MediaTailor
{
"Effect": "Allow",
"Principal": {"Service": "mediatailor.amazonaws.com"},
"Action": "mediapackagev2:GetObject",
"Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
"Condition": {
"StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
}
}