設定 AWS Secrets Manager 存取權杖驗證 - AWS Elemental MediaTailor

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Secrets Manager 存取權杖驗證

當你想使用 AWS Secrets Manager 訪問令牌身份驗證,請執行以下步驟:

  1. 創建了一個 AWS Key Management Service 客戶管理的金鑰

  2. 創建了一個 AWS Secrets Manager 秘密。密碼包含您的存取權杖,該權杖會以加密密碼值的形式儲存在 Secret Secrets Manager 中。 MediaTailor 使用 AWS KMS 用於解密密碼值的客戶管理金鑰。

  3. 您可以配置 AWS Elemental MediaTailor 要使用密碼管理員存取權杖驗證的來源位置。

以下章節提 step-by-step 供如何設定的指引 AWS Secrets Manager 訪問令牌身份驗證。

步驟 1:建立 AWS KMS 對稱式客戶管理金鑰

您使用 AWS Secrets Manager 以存儲在秘密中的形式SecretString存儲您的訪問令牌。通過使用一個加密 SecretString AWS KMS 您建立、擁有和管理的對稱客戶管理金鑰。 MediaTailor 使用對稱的客戶管理金鑰來利用授權存取機密,並加密和解密密碼值。

客戶代管金鑰可讓您執行下列工作:

注意

AWS KMS 使用客戶受管金鑰需支付費用如需定價的詳細資訊,請參閱AWS金鑰管理服務定價頁面。

您可以建立 AWS KMS 對稱的客戶管理金鑰使用 AWS Management Console 或以編程方式使用 AWS KMS APIs.

建立對稱客戶受管金鑰

遵循在中建立對稱客戶管理金鑰的步驟 AWS Key Management Service 開發人員指南。

記下關鍵的 Amazon 資源名稱(ARN); 你需要它步驟 2:建立 AWS Secrets Manager 秘密

加密內容

加密內容是一組選用的金鑰值對,包含資料的其他相關內容資訊。

密管理員在加密和解密. SecretString 加密內容包括秘密ARN,這將加密限制為該特定密碼。作為安全性的附加措施, MediaTailor 創建一個 AWS KMS 代表您授予。 MediaTailor 套用僅允許我們解密SecretString與 Secrets Manager 加內容中ARN包含的密碼相關聯的GrantConstraints作業。

如需 Secrets Manager 如何使用加密內容的相關資訊,請參閱「加密」內容主題 AWS Key Management Service 開發人員指南

設定金鑰原則

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。建立客戶管理金鑰時,您可以使用預設金鑰原則。如需詳細資訊,請參閱的驗證和存取控制 AWS KMSAWS Key Management Service 開發人員指南

若要將客戶管理的金鑰與 MediaTailor 來源位置資源搭配使用,您必須授與呼叫的IAM主體的權限,CreateSourceLocationUpdateSourceLocation使用下列API作業:

  • kms:CreateGrant:新增客戶受管金鑰的授權。 MediaTailor 會對您的客戶管理金鑰建立授權,讓其使用金鑰建立或更新使用存取權杖驗證設定的來源位置。有關在中使用贈款的更多信息 AWS KMS,請參閱 AWS Key Management Service 開發人員指南。

    這允許執 MediaTailor 行以下操作:

    • 打電話,以Decrypt便它可以在呼叫時成功檢索您的 Secrets Manager 碼GetSecretValue

    • 在刪除來源位置或已撤銷密碼存取權時,呼RetireGrant叫以淘汰授權。

以下是您可以新增的範例政策陳述式 MediaTailor:

{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }

如需有關在原則中指定權限和對金鑰存取進行疑難排解的詳細資訊,請參閱授與 AWS KMSAWS Key Management Service 開發人員指南

步驟 2:建立 AWS Secrets Manager 秘密

使用 Secrets Manager 將您的訪問令牌存儲在由 SecretString AWS KMS 客戶管理的金鑰。 MediaTailor使用金鑰來解密SecretString. 有關 Secrets Manager 如何使用的資訊 AWS KMS 為了保護秘密,請參閱主題如何 AWS Secrets Manager 使用 AWS KMS 中的 AWS Key Management Service 開發人員指南

如果您使用 AWS Elemental MediaPackage 作為您的源位置來源,並希望使用 MediaTailor Secrets Manager 訪問令牌身份驗證按照以下步驟操作與使用CDN授權的 MediaPackage 端點整合

您可 Secrets Manager 使用 AWS Management Console 或以編程方式使用 Secrets Manager APIs。

若要建立機密

依照使用建立和管理密碼的步驟 AWS Secre ts Manager AWS Secrets Manager 用戶指南

建立密碼時,請記住下列考量事項:

  • KmsKeyId必須是您在步驟 1 中建立ARN的客戶管理金鑰的金鑰。

  • 您必須提供 SecretString. SecretString應該是一個有效的JSON對象,其中包含包含訪問令牌的鍵和值。例如,{」MyAccessTokenIdentifier「:" 112233445566 "}。該值的長度必須介於 8-128 個字元之間。

    使用存取權杖驗證來設定來源位置時,請指定SecretString金鑰。 MediaTailor 使用密鑰查找和檢索存儲在SecretString.

    記下秘密ARN和密SecretString鑰。當您將源位置配置為使用訪問令牌身份驗證時,將使用它們。

附加以資源為基礎的秘密政策

若要允許 MediaTailor 存取機密值,您必須將以資源為基礎的原則附加至密碼。如需詳細資訊,請參閱將權限原則附加至 AWS Secrets Manager 秘AWS Secrets Manager 用戶指南

以下是您可以新增的政策陳述式範例 MediaTailor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<secret ARN" } ] }

步驟 3:使用訪問令牌身份驗證配置 MediaTailor 源位置

您 Secrets Manager 以使用 AWS Management Console 或以編程方式使用 MediaTailor APIs.

使用密碼管理員存取權杖驗證來設定來源位置

按照中的步驟進Access configuration行操作 AWS Elemental MediaTailor 用戶指南