保護與 SigV4 的 AWS Elemental MediaTailor 原始伺服器互動 - AWS Elemental MediaTailor
MediaTailor 頻道組件需求Amazon S3 需求MediaPackage 需求

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

保護與 SigV4 的 AWS Elemental MediaTailor 原始伺服器互動

Signature 第 4 版 (SigV4) 是一種簽署通訊協定,用於透過 驗證對受支援原始伺服器的 MediaTailor 請求HTTPS。簽署 SigV4 後,在對 MediaTailor Channel Assembly、Amazon S3 和第 2 AWS Elemental MediaPackage 版的HTTPS原始請求中 MediaTailor 包含已簽署的授權標頭。

您可以在原始伺服器使用 SigV4,以確保清單請求只有在來自 MediaTailor 並包含已簽署的授權標頭時才會滿足。如此一來,就會封鎖未經授權的 MediaTailor播放組態來存取原始伺服器內容。如果已簽署的授權標頭有效,您的原始伺服器會滿足請求。如果無效,則請求會失敗。

下列各節說明使用 MediaTailor SigV4 簽署至支援的原始伺服器的要求。

MediaTailor 頻道組件需求

如果您使用 SigV4 來保護 MediaTailor 您的頻道組件原始伺服器,則必須符合下列要求 MediaTailor 才能存取清單:

  • 您 MediaTailor 組態URL中的原始伺服器基礎必須是下列格式的頻道組件頻道: channel-assembly.mediatailor.region.amazonaws.com

  • 您的原始伺服器必須設定為使用 HTTPS。如果在原始伺服器HTTPS未啟用 , MediaTailor 將不會簽署請求。

  • 您的頻道必須具有原始存取政策,其中包含下列項目:

    • 的主要存取權, MediaTailor 以存取您的頻道。授予 mediatailor.amazonaws.com 的存取權。

    • IAM 許可 Mediatailor:GetManifest 讀取 MediaTailor 組態參考的所有頂層清單。

    如需在頻道上設定政策的資訊,請參閱 使用 MediaTailor 主控台建立頻道

範例 Channel Assembly 的原始伺服器存取政策,範圍涵蓋於 MediaTailor 組態帳戶
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
範例 Channel Assembly 的原始伺服器存取政策,範圍涵蓋 MediaTailor 播放組態
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}

Amazon S3 需求

如果您使用 SigV4 來保護 Amazon S3 原始伺服器,則必須符合下列要求 MediaTailor 才能存取清單:

  • 您 MediaTailor 組態URL中的原始伺服器基礎必須是下列格式的 S3 儲存貯體: s3.region.amazonaws.com

  • 您的原始伺服器必須設定為使用 HTTPS。如果在原始伺服器HTTPS未啟用 , MediaTailor 將不會簽署請求。

  • 您的頻道必須具有原始存取政策,其中包含下列項目:

    • 的主要存取權, MediaTailor 以存取您的儲存貯體。授予 mediatailor.amazonaws.com 的存取權。

      如需在 中設定存取權的詳細資訊IAM,請參閱身分和存取管理使用者指南中的存取管理。 AWS

    • IAM 許可 s3:GetObject 讀取 MediaTailor 組態參考的所有頂層清單。

如需 SigV4 for Amazon S3 的一般資訊,請參閱 Amazon S3 API參考 中的驗證請求 (AWS簽章第 4 版) 主題。

範例 Amazon S3 的原始伺服器存取政策,範圍涵蓋於 MediaTailor 帳戶
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
範例 Amazon S3 的原始伺服器存取政策,範圍涵蓋 MediaTailor 播放組態
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}

MediaPackage 需求

如果您使用 SigV4 來保護 MediaPackage v2 原始伺服器,則必須符合下列要求 MediaTailor 才能存取清單:

  • 您 MediaTailor 組態URL中的原始伺服器基礎必須是 MediaPackage v2 端點,格式如下: mediapackagev2.region.amazonaws.com

  • 您的原始伺服器必須設定為使用 HTTPS。如果在原始伺服器HTTPS未啟用 , MediaTailor 將不會簽署請求。

  • 您的頻道必須具有原始存取政策,其中包含下列項目:

    • 的主要存取權 MediaTailor ,以存取您的端點。授予 mediatailor.amazonaws.com 的存取權。

    • IAM 許可 mediapackagev2:GetObject 讀取 MediaTailor 組態參考的所有頂層清單。

如需 SigV4 for MediaPackage v2 的一般資訊,請參閱 v2 參考 中的驗證請求 (AWS簽章版本 4) 主題。 MediaPackage API

範例 MediaPackage v2 的原始伺服器存取政策,範圍涵蓋於 MediaTailor 帳戶
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
範例 MediaPackage v2 的原始伺服器存取政策,範圍涵蓋 MediaTailor 播放組態
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}