使用 Sig AWS Elemental MediaTailor V4 保护源站互动 - AWS Elemental MediaTailor
MediaTailor 频道组装要求亚马逊 S3 要求MediaPackage 要求

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Sig AWS Elemental MediaTailor V4 保护源站互动

签名版本 4 (Sigv4) 是一种签名协议,用于对发往受支持来源的 MediaTailor 请求进行身份验证。HTTPS使用 Sigv4 签名,在向 MediaTailor 频道组装、Amazon S3 和 AWS Elemental MediaPackage 版本 2 发出的HTTPS原始请求中 MediaTailor 包含签名的授权标头。

你可以在源站使用 SigV4 来确保清单请求只有来自 MediaTailor 并包含签名的授权标头时才会得到满足。这样,未经授权的 MediaTailor播放配置就会被阻止访问您的原始内容。如果签名的授权标头有效,则您的来源满足请求。如果无效,则请求失败。

以下各节描述了对支持的源使用 MediaTailor Sigv4 签名的要求。

MediaTailor 频道组装要求

如果您使用 SigV4 来保护您的 MediaTailor 频道集合来源,则必须满足以下要求 MediaTailor 才能访问清单:

  • MediaTailor 配置URL中的原点基础必须是采用以下格式的通道集合频道:channel-assembly.mediatailor.region.amazonaws.com

  • 必须将您的源配置为使用HTTPS。如果HTTPS在源站未启用,则 MediaTailor 不会对请求进行签名。

  • 您的频道必须有包含以下内容的源站访问政策:

    • 访问您的频道 MediaTailor 的委托人访问权限。授予访问 mediata ilor.amazonaws.com 的访问权限。

    • IAM权限 mediatailor:读GetManifest 取配置引用的所有顶级清单。 MediaTailor

    有关在频道上设置政策的信息,请参阅使用 MediaTailor 控制台创建频道

例 Channel Assembly 的源站访问策略,范围限于 MediaTailor 配置账户
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
例 Channel Assembly 的源站访问策略,范围限于 MediaTailor 播放配置
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}

亚马逊 S3 要求

如果您使用 Sigv4 来保护您的 Amazon S3 来源,则必须满足以下要求 MediaTailor 才能访问清单:

  • 您的 MediaTailor 配置URL中的源基础必须是采用以下格式的 S3 存储桶:s3.region.amazonaws.com

  • 必须将您的源配置为使用HTTPS。如果HTTPS在源站未启用,则 MediaTailor 不会对请求进行签名。

  • 您的频道必须有包含以下内容的源站访问政策:

    • 访问您的存储桶 MediaTailor 的委托人访问权限。授予访问 mediata ilor.amazonaws.com 的访问权限。

      有关在中配置访问的信息IAM,请参阅《Identity and Access Managem AWSent 用户指南》中的访问管理

    • IAM权限 s3:读GetObject 取 MediaTailor 配置引用的所有顶级清单。

有关适用于 Amazon S3 的 Sigv4 的一般信息,请参阅 Amazon S3 参考中的身份验证请求(AWS签名版本 4)主题。API

例 Amazon S3 的源站访问策略,范围限于账户 MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
例 Amazon S3 的源站访问策略,范围限于 MediaTailor 播放配置
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}

MediaPackage 要求

如果您使用 SigV4 来保护您的 MediaPackage v2 来源,则必须满足以下要求 MediaTailor 才能访问清单:

  • 您的 MediaTailor 配置URL中的源基础必须是采用以下格式的 MediaPackage v2 终端节点:mediapackagev2.region.amazonaws.com

  • 必须将您的源配置为使用HTTPS。如果HTTPS在源站未启用,则 MediaTailor 不会对请求进行签名。

  • 您的频道必须有包含以下内容的源站访问政策:

    • 访问您的终端节点 MediaTailor 的委托人访问权限。授予访问 mediata ilor.amazonaws.com 的访问权限。

    • IAM权限 mediapackagev2:读GetObject 取配置引用的所有顶级清单。 MediaTailor

有关 v2 版 SigV4 的一般信息,请参阅 MediaPackage v2 参考中的身份验证请求(AWS签名版本 4)主题。MediaPackage API

例 MediaPackage v2 的源站访问策略,范围限于账户 MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
例 MediaPackage v2 的源站访问策略,范围限于播放配置 MediaTailor 
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}