Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN Paso 2: Almacene el valor como un secreto en AWS Secrets Manager Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager Paso 4: Habilite la autorización de CDN en MediaPackage

Configuración de la autorización de CDN

Complete los siguientes pasos para configurar la autorización de CDN.

Temas

Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN
Paso 2: Almacene el valor como un secreto en AWS Secrets Manager
Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager
Paso 4: Habilite la autorización de CDN en MediaPackage

Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN

En su CDN, configure un encabezado HTTP de origen personalizado que contenga el encabezado X-MediaPackage-CDNIdentifier y un valor. Para el valor, se recomienda utilizar el formato UUID versión 4 que produce una cadena de 36 caracteres. Si no está utilizando el formato UUID versión 4, el valor debe tener entre 8 y 128 caracteres.

importante

El valor que elija debe ser un valor estático. No hay integración nativa entre su CDN y AWS Secrets Manager, por lo que el valor debe ser estático tanto en su CDN como en AWS Secrets Manager. Si cambia este valor después de configurar su CDN y su secreto, tiene que rotar manualmente el valor. Para obtener más información, consulte Rotación del valor del encabezado de CDN.

Encabezado y valor de ejemplo


X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660

Para crear un encabezado personalizado en Amazon CloudFront

Inicia sesión en AWS Management Console y abre la CloudFront consola enhttps://console.aws.amazon.com/cloudfront/v4/home.
Crear o editar una distribución.
En Origin Settings (Configuración de origen), complete los campos. Utilizará este mismo valor para su secreto en Secrets Manager.
- En Header Name (Nombre de encabezado), escriba X-MediaPackage-CDNIdentifier.
- En Valor, introduzca un valor. Se recomienda utilizar el formato UUID versión 4, que produce una cadena de 36 caracteres. Si no está utilizando el formato UUID versión 4, el valor debe tener entre 8 y 128 caracteres.
Complete el resto de los campos y guarde la distribución.

Para obtener más información sobre los encabezados personalizados en CloudFront, consulta Cómo reenviar los encabezados de los clientes a tu origen en la Guía para desarrolladores de Amazon CloudFront .

Paso 2: Almacene el valor como un secreto en AWS Secrets Manager

Almacene el mismo valor que utiliza en el encabezado HTTP de origen personalizado como secreto en AWS Secrets Manager. El secreto debe usar los mismos ajustes de región y cuenta de AWS como recursos de AWS Elemental MediaPackage. MediaPackage no admite compartir secretos entre cuentas o regiones. Sin embargo, puede usar el mismo secreto en varios puntos de enlace de la misma región y en la misma cuenta.

Almacenar un secreto en Secrets Manager

Inicie sesión en la consola de AWS Secrets Manager en https://console.aws.amazon.com/secretsmanager/.
Elija Almacenar un secreto nuevo. En Tipo de secreto, elija Otro tipo de secreto.
En Pares clave/valor, introduzca la información de la clave y el valor.
- En el cuadro de la izquierda, introduzca MediaPackageCDNIdentifier.
- En el cuadro de la derecha, escriba el valor que configuró para el encabezado HTTP de origen personalizado. Por ejemplo, 9ceebbe7-9607-4552-8764-876e47032660.
En el caso de la clave de cifrado, puedes mantener el valor predeterminado como. DefaultEncryptionKey
Elija Siguiente.
En Secret name (Nombre secreto), le recomendamos que añada MediaPackage/ como prefijo para que sepa que es un secreto utilizado para MediaPackage. Por ejemplo, MediaPackage/cdn_auth_us-west-2.
Elija Siguiente.
En Configure automatic rotation (Configurar rotación automática), mantenga Disable automatic rotation (Desactivar rotación automática) como la configuración predeterminada.

Si necesita rotar el código de autorización más adelante, consulte Rotación del valor del encabezado de CDN.
Elija Next (Siguiente) y, a continuación, elija Store (Tienda).

Esto le llevará a su lista de secretos.
Seleccione el nombre de su secreto para ver el Secret ARN (ARN secreto). El ARN tiene un valor similar a arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx. Utilice el ARN secreto al configurar la autorización de CDN de MediaPackage en el paso 4: Habilitar autorización de CDN en MediaPackage.

Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager

Cree una política y un rol de IAM para dar acceso de MediaPackage lectura a Secrets Manager. Cuando MediaPackage recibe una solicitud de reproducción de la CDN, verifica que el valor secreto almacenado coincide con el valor del encabezado HTTP personalizado. Siga los pasos de Permitir que AWS Elemental MediaPackage acceda a otros servicios de AWS para configurar la política y el rol.

Paso 4: Habilite la autorización de CDN en MediaPackage

Puede habilitar la autorización de CDN para sus terminales o grupos de empaquetado de vídeo bajo demanda (VOD) con la MediaPackage consola o la API. AWS CLI MediaPackage El ARN se utiliza para la política y el rol de IAM que ha creado en el paso 3: Crear una política y un rol de IAM para acceder a MediaPackage Secrets Manager.

sugerencia

Utilice el mismo secreto en varios puntos de enlace de la misma región y en la misma cuenta. Reduzca costes creando un nuevo secreto solo cuando sea necesario para su flujo de trabajo.

Para habilitar la autorización de CDN para contenido en directo a través de la consola

Abra la MediaPackage consola en https://console.aws.amazon.com/mediapackage/.
Si aún no tiene un canal, cree uno. Para obtener ayuda, consulte Creación de un canal.
Cree o edite un punto de enlace.
En Configuración de control de acceso, seleccione Usar autorización de CDN. Complete los campos:
- En ARN de rol de secretos, escriba el ARN para el rol de IAM que creó en Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager.
- En ARN del secreto del identificador de CDN, ingrese el ARN del secreto en Secrets Manager que su CDN utiliza para autorizar el acceso a su punto de conexión.
Complete los campos restantes según sea necesario y guarde el punto de enlace.

Para habilitar la autorización de CDN para contenido VOD a través de la consola

Abra la MediaPackage consola en https://console.aws.amazon.com/mediapackage/.
Si aún no tiene un grupo de empaquetado VOD, cree uno. Para obtener ayuda, consulte Creación de un grupo de empaquetado.
Cree o edite un grupo de empaquetado.
En Configurar el control de acceso, seleccione Habilitar la autorización. Complete los campos:
- En ARN de rol de secretos, escriba el ARN para el rol de IAM que creó en Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager.
- En ARN del secreto del identificador de CDN, ingrese el ARN del secreto en Secrets Manager que su CDN utiliza para autorizar el acceso a su punto de conexión.
Complete los campos restantes según sea necesario y guarde el grupo de empaquetado.

Ha completado la configuración de la autorización de CDN. Las solicitudes a este punto de conexión deben contener el mismo código de autorización que guardó en Secrets Manager.

Para habilitar la autorización de CDN con la API MediaPackage

Para obtener información sobre cómo habilitar la autorización de CDN con la MediaPackage API, consulta las siguientes referencias de la API:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autorización de CDN

Rotación del valor del encabezado de CDN