Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN Paso 2: Almacene el valor como un secreto en AWS Secrets Manager Paso 3: Crear un rol y una política de IAM para que tenga MediaPackage acceso a Secrets Manager Paso 4: Habilitar la autorización de CDN en MediaPackage

Configuración de la autorización de CDN

Complete los siguientes pasos para configurar la autorización de CDN.

Temas

Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN
Paso 2: Almacene el valor como un secreto en AWS Secrets Manager
Paso 3: Crear un rol y una política de IAM para que tenga MediaPackage acceso a Secrets Manager
Paso 4: Habilitar la autorización de CDN en MediaPackage

Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN

En su CDN, configure un encabezado HTTP de origen personalizado que contenga el encabezado X-MediaPackage-CDNIdentifier y un valor. Para el valor, le recomendamos que utilice el formato UUID versión 4, que produce una cadena de 36 caracteres. Si no está utilizando el formato UUID versión 4, el valor debe tener entre 8 y 128 caracteres.

importante

El valor que elija debe ser un valor estático. No hay integración nativa entre su CDN y AWS Secrets Manager, por lo que el valor debe ser estático tanto en su CDN como en AWS Secrets Manager. Si cambias este valor después de configurar tu CDN y tu secreto, tendrás que rotar el valor manualmente. Para obtener más información, consulte Rotación del valor del encabezado de CDN.

Encabezado y valor de ejemplo


X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660

Para crear un encabezado personalizado en Amazon CloudFront

Inicie sesión enAWS Management Console y abra la CloudFront consola enhttps://console.aws.amazon.com/cloudfront/v3/home.
Crear o editar una distribución.
En Origin Settings (Configuración de origen), complete los campos. Usarás este mismo valor para tu secreto en Secrets Manager.
- En Header Name (Nombre de encabezado), escriba X-MediaPackage-CDNIdentifier.
- En Value (Valor), introduzca un valor. Le recomendamos que utilice el formato UUID versión 4, que produce una cadena de 36 caracteres. Si no está utilizando el formato UUID versión 4, el valor debe tener entre 8 y 128 caracteres.
Complete el resto de los campos y guarde la distribución.

Para obtener más información sobre los encabezados personalizados en CloudFront, consulta Cómo reenviar los encabezados de los clientes a tu origen en la Guía para CloudFront desarrolladores de Amazon.

Paso 2: Almacene el valor como un secreto en AWS Secrets Manager

Almacene el mismo valor que utiliza en el encabezado HTTP de origen personalizado como secreto en AWS Secrets Manager. El secreto debe usar la misma configuración deAWS cuenta y región que sus MediaPackage recursos de AWS Elemental. MediaPackageno permite compartir secretos entre cuentas o regiones. Sin embargo, puede usar el mismo secreto en varios puntos de enlace de la misma región y en la misma cuenta.

Para almacenar un secreto en Secrets Manager

Inicie sesión en la consola de AWS Secrets Manager en https://console.aws.amazon.com/secretsmanager/.
Elija Store a new secret (Almacenar un nuevo secreto). En Tipo secreto, selecciona Otro tipo de secretos.
Para los pares clave/valor, introduzca la información clave y de valor.
- En el cuadro de la izquierda, introduzca MediaPackageCDNIdentifier.
- En el cuadro de la derecha, escriba el valor que configuró para el encabezado HTTP de origen personalizado. Por ejemplo, 9ceebbe7-9607-4552-8764-876e47032660.
Para la clave de cifrado, puede mantener el valor predeterminado como DefaultEncryptionKey.
Elija Next (Siguiente).
En Secret name (Nombre secreto), le recomendamos que añada MediaPackage/ como prefijo para que sepa que es un secreto utilizado para MediaPackage. Por ejemplo, MediaPackage/cdn_auth_us-west-2.
Elija Next (Siguiente).
En Configure automatic rotation (Configurar rotación automática), mantenga Disable automatic rotation (Desactivar rotación automática) como la configuración predeterminada.

Si necesita rotar el código de autorización más adelante, consulte Rotación del valor del encabezado de CDN.
Elija Next (Siguiente) y, a continuación, elija Store (Tienda).

Esto le llevará a su lista de secretos.
Seleccione el nombre de su secreto para ver el Secret ARN (ARN secreto). El ARN tiene un valor similar a arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx. Utilice el ARN secreto al configurar la autorización de CDN de MediaPackage en el paso 4: Habilitar autorización de CDN en MediaPackage.

Paso 3: Crear un rol y una política de IAM para que tenga MediaPackage acceso a Secrets Manager

Cree una política y un rol de IAM para dar acceso de MediaPackage lectura a Secrets Manager. Cuando MediaPackage recibe una solicitud de reproducción de la CDN, verifica que el valor secreto almacenado coincide con el valor del encabezado HTTP personalizado. Siga los pasos de Permitir que AWS Elemental acceda MediaPackage a otrosAWS servicios para configurar la política y el rol.

Paso 4: Habilitar la autorización de CDN en MediaPackage

Puede habilitar la autorización de CDN para sus terminales o grupos de empaquetado de vídeo bajo demanda (VOD) a través de la MediaPackage consola o la MediaPackage API.AWS CLI Utilice el ARN para la política y el rol de IAM que cree en el paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager.

sugerencia

Utilice el mismo secreto en varios puntos de enlace de la misma región y en la misma cuenta. Reduzca costes creando un nuevo secreto solo cuando sea necesario para su flujo de trabajo.

Para habilitar la autorización de CDN para contenido en directo a través de la consola

Abra la MediaPackage consola en https://console.aws.amazon.com/mediapackage/.
Si aún no tiene un canal, cree uno. Para obtener ayuda, consulte Creación de un canal.
Cree o edite un punto de enlace.
En Configuración de control de acceso, selecciona Usar autorización de CDN. Complete los campos:
- En ARN del rol secreto, ingrese el ARN del rol de IAM en ARN enPaso 3: Crear un rol y una política de IAM para que tenga MediaPackage acceso a Secrets Manager.
- En ARN secreto del identificador de CDN, ingrese el ARN del secreto en Secrets Manager que su CDN utiliza para autorizar el acceso a su punto de conexión.
Complete los campos restantes según sea necesario y guarde el punto de enlace.

Para habilitar la autorización CDN para contenido VOD a través de la consola

Abra la MediaPackage consola en https://console.aws.amazon.com/mediapackage/.
Si aún no tiene un grupo de empaquetado VOD, cree uno. Para obtener ayuda, consulte Creación de un grupo de empaquetado.
Cree o edite un grupo de empaquetado.
En Configurar el control de acceso, selecciona Activar autorización. Complete los campos:
- En ARN del rol secreto, ingrese el ARN del rol de IAM en ARN enPaso 3: Crear un rol y una política de IAM para que tenga MediaPackage acceso a Secrets Manager.
- En ARN secreto del identificador de CDN, ingrese el ARN del secreto en Secrets Manager que su CDN utiliza para autorizar el acceso a su punto de conexión.
Complete los campos restantes según sea necesario y guarde el grupo de empaquetado.

Ha completado la configuración de la autorización de CDN. Las solicitudes a este terminal deben contener el mismo código de autorización que guardó en Secrets Manager.

Para habilitar la autorización de CDN a través de la MediaPackage API

Para obtener información sobre cómo habilitar la autorización de CDN con la MediaPackage API, consulte las siguientes referencias de API:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autorización de CDN

Rotación del valor del encabezado de CDN