Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar la autenticación con token de AWS Secrets Manager acceso
Cuando desee utilizar la autenticación con token de AWS Secrets Manager acceso, lleve a cabo los siguientes pasos:
-
Usted crea una clave gestionada por el AWS Key Management Service cliente.
-
Creas un AWS Secrets Manager secreto. El secreto contiene tu token de acceso, que se almacena en Secrets Manager como un valor secreto cifrado. MediaTailor utiliza la clave gestionada por el AWS KMS cliente para descifrar el valor secreto.
-
Se configura una ubicación de AWS Elemental MediaTailor origen para usar la autenticación por token de acceso de Secrets Manager.
En la siguiente sección se proporcionan step-by-step instrucciones sobre cómo configurar la autenticación por token de AWS Secrets Manager acceso.
Temas
Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente
Se utiliza AWS Secrets Manager para almacenar el token de acceso en forma de secreto SecretString
almacenado. SecretString
Se cifra mediante el uso de una clave AWS KMS simétrica administrada por el cliente que usted crea, posee y administra. MediaTailor utiliza la clave simétrica gestionada por el cliente para facilitar el acceso al secreto mediante una concesión y para cifrar y descifrar el valor secreto.
Las claves administradas por el cliente le permiten realizar tareas como las siguientes:
-
Establecer y mantener políticas de claves
-
Establecer y mantener IAM políticas y subvenciones
-
Habilitar y deshabilitar políticas de claves
-
Material de clave criptográfica rotativa
-
Agregar etiquetas.
Para obtener información sobre cómo se usa Secrets Manager AWS KMS para proteger los secretos, consulte el tema Cómo se AWS Secrets Manager usa AWS KMS en la Guía para AWS Key Management Service desarrolladores.
Para obtener más información acerca de las claves administradas por el cliente, consulte Claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .
nota
AWS KMS se aplican cargos por el uso de una clave administrada por el cliente. Para obtener más información sobre los precios, consulte la página de precios del servicio de administración de AWS claves
Puede crear una clave AWS KMS simétrica gestionada por el cliente mediante AWS Management Console o mediante programación con la. AWS KMS APIs
Para crear una clave simétrica administrada por el cliente
Siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores.AWS Key Management Service
Anota la clave Amazon Resource Name (ARN); la necesitarásPaso 2: Crea un AWS Secrets Manager secreto.
Contexto de cifrado
Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.
Secrets Manager incluye un contexto de cifrado al cifrar y descifrar el. SecretString
El contexto de cifrado incluye el secretoARN, lo que limita el cifrado a ese secreto específico. Como medida de seguridad adicional, MediaTailor crea una AWS KMS subvención en tu nombre. MediaTailor aplica una GrantConstraintsoperación que solo nos permite descifrar lo SecretString
asociado al secreto ARN contenido en el contexto de cifrado de Secrets Manager.
Para obtener información sobre cómo Secrets Manager utiliza el contexto de cifrado, consulte el tema Contexto de cifrado en la Guía para AWS Key Management Service desarrolladores.
Establecer la política de claves
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Al crear la clave gestionada por el cliente, puede utilizar la política de claves predeterminada. Para obtener más información, consulte Autenticación y control de acceso AWS KMS en la Guía para AWS Key Management Service desarrolladores.
Para usar la clave gestionada por el cliente con los recursos de la ubicación de MediaTailor origen, debe dar permiso al IAM director que llame CreateSourceLocationo UpdateSourceLocationrealizar las siguientes API operaciones:
-
kms:CreateGrant
: añade una concesión a una clave administrada por el cliente. MediaTailor crea una concesión en la clave gestionada por el cliente que le permite utilizarla para crear o actualizar una ubicación de origen configurada con la autenticación mediante token de acceso. Para obtener más información sobre el uso de Grants en AWS KMS, consulta la Guía para AWS Key Management Service desarrolladores.Esto permite MediaTailor hacer lo siguiente:
-
Llama
Decrypt
para que pueda recuperar correctamente tu secreto de Secrets Manager cuando te llame GetSecretValue. -
Llama
RetireGrant
para retirar la concesión cuando se elimine la ubicación de origen o cuando se haya revocado el acceso al secreto.
-
El siguiente es un ejemplo de declaración de política que puede añadir para MediaTailor:
{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account number
:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region
.amazonaws.com" } } }
Para obtener más información sobre la especificación de los permisos en una política y la solución de problemas de acceso a las claves, consulte AWS KMSConcesiones en la Guía para AWS Key Management Service desarrolladores.
Paso 2: Crea un AWS Secrets Manager secreto
Usa Secrets Manager para almacenar tu token de acceso en forma de cifrado mediante una SecretString
clave gestionada por el AWS KMS cliente. MediaTailorutiliza la clave para descifrar elSecretString
. Para obtener información sobre cómo se usa Secrets Manager AWS KMS para proteger los secretos, consulte el tema Cómo se AWS Secrets Manager usa AWS KMS en la Guía para AWS Key Management Service desarrolladores.
Si utilizas la ubicación de origen AWS Elemental MediaPackage como origen y quieres usar la autenticación con token de acceso de MediaTailor Secrets Manager, sigue el procedimientoIntegración con MediaPackage puntos finales que utilizan la autorización CDN.
Puede crear un secreto de Secrets Manager utilizando AWS Management Console o programáticamente con Secrets Manager. APIs
Para crear un secreto
Sigue los pasos para crear y gestionar AWS secretos con Secrets Manager de la Guía del AWS Secrets Manager usuario.
Tenga en cuenta las siguientes consideraciones al crear su secreto:
-
KmsKeyIdDebe ser la clave ARN de la clave gestionada por el cliente que creaste en el paso 1.
-
Debe proporcionar un SecretString.
SecretString
Debe ser un JSON objeto válido que incluya una clave y un valor que contengan el token de acceso. Por ejemplo, {» MyAccessTokenIdentifier «:"112233445566"}. El valor debe tener entre 8 y 128 caracteres.Al configurar la ubicación de origen con la autenticación por token de acceso, se especifica la
SecretString
clave. MediaTailor utiliza la clave para buscar y recuperar el token de acceso almacenado enSecretString
.Anote el secreto ARN y la
SecretString
clave. Los usarás cuando configures la ubicación de origen para usar la autenticación con token de acceso.
Adjuntar una política secreta basada en recursos
Para permitir el MediaTailor acceso al valor secreto, debe adjuntar al secreto una política basada en recursos. Para obtener más información, consulte Adjuntar una política de permisos a un secreto de AWS Secrets Manager en la Guía del AWS Secrets Manager usuario.
El siguiente es un ejemplo de declaración de política que puede añadir para MediaTailor:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<
secret ARN
" } ] }
Paso 3: Configurar una ubicación de MediaTailor origen con la autenticación del token de acceso
Puede configurar la autenticación del token de acceso de Secrets Manager mediante el AWS Management Console o mediante programación con el. MediaTailor APIs
Para configurar una ubicación de origen con la autenticación mediante token de acceso a Secrets Manager
Siga los pasos que se indican Access configuration en la Guía AWS Elemental MediaTailor del usuario.