Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente - AWS Elemental MediaTailor
Para crear una clave simétrica administrada por el clienteContexto de cifradoEstablecer la política de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente

Se utiliza AWS Secrets Manager para almacenar el token de acceso en forma de secreto SecretString almacenado. SecretStringSe cifra mediante el uso de una clave AWS KMS simétrica administrada por el cliente que usted crea, posee y administra. MediaTailor utiliza la clave simétrica gestionada por el cliente para facilitar el acceso al secreto mediante una concesión y para cifrar y descifrar el valor secreto.

Las claves administradas por el cliente le permiten realizar tareas como las siguientes:

  • Establecer y mantener políticas de claves

  • Establecer y mantener IAM políticas y subvenciones

  • Habilitar y deshabilitar políticas de claves

  • Material de clave criptográfica rotativa

  • Agregar etiquetas.

    Para obtener información sobre cómo se usa Secrets Manager AWS KMS para proteger los secretos, consulte el tema Cómo se AWS Secrets Manager usa AWS KMS en la Guía para AWS Key Management Service desarrolladores.

    Para obtener más información acerca de las claves administradas por el cliente, consulte Claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .

nota

AWS KMS se aplican cargos por el uso de una clave administrada por el cliente. Para obtener más información sobre los precios, consulte la página de precios del servicio de administración de AWS claves.

Puede crear una clave AWS KMS simétrica gestionada por el cliente mediante AWS Management Console o mediante programación con la. AWS KMS APIs

Para crear una clave simétrica administrada por el cliente

Siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores.AWS Key Management Service

Anota la clave Amazon Resource Name (ARN); la necesitarásPaso 2: Crea un AWS Secrets Manager secreto.

Contexto de cifrado

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

Secrets Manager incluye un contexto de cifrado al cifrar y descifrar el. SecretString El contexto de cifrado incluye el secretoARN, lo que limita el cifrado a ese secreto específico. Como medida de seguridad adicional, MediaTailor crea una AWS KMS subvención en tu nombre. MediaTailor aplica una GrantConstraintsoperación que solo nos permite descifrar lo SecretString asociado al secreto ARN contenido en el contexto de cifrado de Secrets Manager.

Para obtener información sobre cómo Secrets Manager utiliza el contexto de cifrado, consulte el tema Contexto de cifrado en la Guía para AWS Key Management Service desarrolladores.

Establecer la política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Al crear la clave gestionada por el cliente, puede utilizar la política de claves predeterminada. Para obtener más información, consulte Autenticación y control de acceso AWS KMS en la Guía para AWS Key Management Service desarrolladores.

Para utilizar la clave gestionada por el cliente con los recursos de la ubicación de MediaTailor origen, debe dar permiso al IAM director que llame CreateSourceLocationo UpdateSourceLocationrealizar las siguientes API operaciones:

  • kms:CreateGrant: añade una concesión a una clave administrada por el cliente. MediaTailor crea una concesión en la clave gestionada por el cliente que le permite utilizarla para crear o actualizar una ubicación de origen configurada con la autenticación mediante token de acceso. Para obtener más información sobre el uso de Grants en AWS KMS, consulta la Guía para AWS Key Management Service desarrolladores.

    Esto permite MediaTailor hacer lo siguiente:

    • Llama Decrypt para que pueda recuperar correctamente tu secreto de Secrets Manager cuando te llame GetSecretValue.

    • Llama RetireGrant para retirar la concesión cuando se elimine la ubicación de origen o cuando se haya revocado el acceso al secreto.

El siguiente es un ejemplo de declaración de política que puede añadir para MediaTailor:

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Para obtener más información sobre la especificación de los permisos en una política y la solución de problemas de acceso a las claves, consulte AWS KMSConcesiones en la Guía para AWS Key Management Service desarrolladores.