Authentifizierung - Secure Packager and Encoder Key Exchange API-Spezifikation
Authentifizierung für AWS Cloud-ImplementierungenAuthentifizierung für On-Premises-Produkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung

SPEKE erfordert die Authentifizierung für On-Premises-Produkte und für Services und Funktionen, die in der AWS Cloud ausgeführt werden.

Authentifizierung für AWS Cloud-Implementierungen

SPEKE erfordert die AWS-Authentifizierung über IAM-Rollen für die Verwendung mit einem Verschlüsselung. IAM-Rollen werden vom DRM-Anbieter oder dem Operator erstellt, der im Besitz des DRM-Endpunkts in einem AWS-Konto ist. Jeder Rolle ist ein Amazon-Ressourcenname (ARN) zugewiesen, den der AWS Elemental-Service-Operator in der Service-Konsole angibt, wenn er Verschlüsselung anfordert. Die Richtlinienberechtigungen der Rolle müssen so konfiguriert werden, dass sie zum Zugriff auf die Schlüsselanbieter-API berechtigen, nicht jedoch auf andere AWS-Ressourcen. Wenn der Verschlüsseler Kontakt mit dem DRM-Schlüsselanbieter aufnimmt, verwendet er den Rollen-ARN, um die Rolle des Kontoinhabers des Schlüsselanbieters anzunehmen. Anschließend werden temporäre Anmeldeinformationen an den Verschlüsseler zurückgegeben, mit denen dieser auf den Schlüsselanbieter zugreifen kann.

Eine gängige Implementierung besteht darin, dass der Operator oder DRM-Plattformanbieter Amazon API Gateway vor dem Schlüsselanbieter verwendet und dann die AWS Identity and Access Management (AWS IAM)-Autorisierung für die API Gateway-Ressource aktiviert. Sie können das folgende Beispiel für eine Richtliniendefinition einer neuen Rolle anfügen, um der entsprechenden Ressource Berechtigungen zu erteilen. In diesem Fall gelten die Berechtigungen für alle API Gateway-Ressourcen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-west-2:*:*/*/GET/*"
            ]
        }
    ]
}

Schließlich erfordert die Rolle das Hinzufügen einer Vertrauensstellung und der Operator muss den Service auswählen können.

Das folgende Beispiel zeigt einen Rollen-ARN, der für den Zugriff auf den DRM-Schlüsselanbieter erstellt wurde:

arn:aws:iam::2949266363526:role/DRMKeyServer

Weitere Informationen zum Erstellen einer Rolle finden Sie unter AWS AssumeRole. Weitere Informationen zum Signieren einer Anforderung finden Sie unter AWS Sigv4.

Authentifizierung für On-Premises-Produkte

Für lokale Produkte empfehlen wir die Verwendung von SSL/TLS und Digest-Authentifizierung, um die beste Sicherheit zu erzielen. Sie sollten jedoch mindestens die grundlegende Authentifizierung über HTTPS verwenden.

Beide Arten der Authentifizierung verwenden den Header Authorization in der HTTP-Anforderung:

  • Digest-Authentifizierung – Der Autorisierungs-Header besteht aus der Kennung Digest gefolgt von einer Reihe von Werten, die die Anforderung authentifizieren. Insbesondere wird ein Antwortwert durch eine Reihe von MD5-Hash-Funktionen generiert, die einen eindeutigen, one-time-use einmaligen vom Server enthalten, der verwendet wird, um sicherzustellen, dass das Passwort sicher übertragen wird.

  • Grundlegende Authentifizierung – Der Autorisierungs-Header besteht aus der Kennung Basic gefolgt von einer Base-64-kodierten Zeichenfolge, die den Benutzernamen und das Passwort darstellt, getrennt durch einen Doppelpunkt.

Informationen zur Basis- und Digest-Authentifizierung einschließlich detailliertet Informationen zum Header finden Sie in der Internet Engineering Task Force (IETF)-Spezifikation RFC 2617 – HTTP-Authentifizierung: Basis- und Digest-Zugriffsauthentifizierung.