Configuración AWS Secrets Manager autenticación mediante token de acceso - AWS Elemental MediaTailor
Paso 1: Crear un AWS KMS clave simétrica gestionada por el clientePaso 2: Crea un AWS Secrets Manager secretaPaso 3: Configurar una ubicación de MediaTailor origen con la autenticación del token de acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AWS Secrets Manager autenticación mediante token de acceso

Cuando quieras usar AWS Secrets Manager para acceder a la autenticación mediante token, debe realizar los siguientes pasos:

  1. Creas un AWS Key Management Service clave gestionada por el cliente.

  2. Creas una AWS Secrets Manager secreto. El secreto contiene tu token de acceso, que se almacena en Secrets Manager como un valor secreto cifrado. MediaTailor usa el AWS KMS clave gestionada por el cliente para descifrar el valor secreto.

  3. Usted configura un AWS Elemental MediaTailor ubicación de origen para usar la autenticación con token de acceso de Secrets Manager.

En la siguiente sección se proporcionan step-by-step instrucciones sobre cómo configurar AWS Secrets Manager autenticación mediante token de acceso.

Paso 1: Crear un AWS KMS clave simétrica gestionada por el cliente

Usas AWS Secrets Manager para almacenar su token de acceso en forma de SecretString guardado en secreto. SecretStringSe cifra mediante el uso de un AWS KMS clave simétrica gestionada por el cliente que usted crea, posee y administra. MediaTailor utiliza la clave simétrica gestionada por el cliente para facilitar el acceso al secreto mediante una concesión y para cifrar y descifrar el valor secreto.

Las claves administradas por el cliente le permiten realizar tareas como las siguientes:

  • Establecer y mantener políticas de claves

  • Establecer y mantener IAM políticas y subvenciones

  • Habilitar y deshabilitar políticas de claves

  • Material de clave criptográfica rotativa

  • Agregar etiquetas.

    Para obtener información sobre cómo Secrets Manager usa AWS KMS para proteger los secretos, consulte el tema Cómo AWS Secrets Manager uses AWS KMS en la AWS Key Management Service Guía para desarrolladores.

    Para obtener más información sobre las claves administradas por el cliente, consulte las claves administradas por el cliente en la AWS Key Management Service Guía para desarrolladores.

nota

AWS KMS se aplican cargos por el uso de una clave administrada por el cliente. Para obtener más información sobre los precios, consulte la página de precios del servicio de administración de AWS claves.

Puede crear un AWS KMS clave simétrica gestionada por el cliente mediante el AWS Management Console o mediante programación con el AWS KMS APIs.

Para crear una clave simétrica administrada por el cliente

Siga los pasos para crear una clave simétrica gestionada por el cliente en el AWS Key Management Service Guía para desarrolladores.

Anota la clave Amazon Resource Name (ARN); la necesitarásPaso 2: Crea un AWS Secrets Manager secreta.

Contexto de cifrado

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

Secrets Manager incluye un contexto de cifrado al cifrar y descifrar el. SecretString El contexto de cifrado incluye el secretoARN, lo que limita el cifrado a ese secreto específico. Como medida de seguridad adicional, MediaTailor crea un AWS KMS conceder en su nombre. MediaTailor aplica una GrantConstraintsoperación que solo nos permite descifrar lo SecretString asociado al secreto ARN contenido en el contexto de cifrado de Secrets Manager.

Para obtener información sobre cómo Secrets Manager utiliza el contexto de cifrado, consulte el tema Contexto de cifrado en la AWS Key Management Service Guía para desarrolladores.

Establecer la política clave

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Al crear la clave gestionada por el cliente, puede utilizar la política de claves predeterminada. Para obtener más información, consulte Autenticación y control de acceso para AWS KMSen el AWS Key Management Service Guía para desarrolladores.

Para utilizar la clave gestionada por el cliente con los recursos de la ubicación de MediaTailor origen, debe dar permiso al IAM director que llame CreateSourceLocationo UpdateSourceLocationa utilizar las siguientes API operaciones:

  • kms:CreateGrant: añade una concesión a una clave administrada por el cliente. MediaTailor crea una concesión en la clave gestionada por el cliente que le permite utilizarla para crear o actualizar una ubicación de origen configurada con la autenticación mediante token de acceso. Para obtener más información sobre el uso de las subvenciones, en AWS KMS, consulte la AWS Key Management Service Guía para desarrolladores.

    Esto permite MediaTailor hacer lo siguiente:

    • Llama Decrypt para que pueda recuperar correctamente tu secreto de Secrets Manager cuando te llame GetSecretValue.

    • Llama RetireGrant para retirar la concesión cuando se elimine la ubicación de origen o cuando se haya revocado el acceso al secreto.

El siguiente es un ejemplo de declaración de política que puede añadir para MediaTailor:

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Para obtener más información sobre la especificación de permisos en una política y la solución de problemas de acceso clave, consulte Concesiones en AWS KMSen el AWS Key Management Service Guía para desarrolladores.

Paso 2: Crea un AWS Secrets Manager secreta

Usa Secrets Manager para almacenar tu token de acceso en forma de cifrado por un SecretString AWS KMS clave gestionada por el cliente. MediaTailorutiliza la clave para descifrar elSecretString. Para obtener información sobre cómo Secrets Manager usa AWS KMS para proteger los secretos, consulte el tema Cómo AWS Secrets Manager uses AWS KMS en la AWS Key Management Service Guía para desarrolladores.

Si usas AWS Elemental MediaPackage como origen de su ubicación de origen y si desea utilizar la autenticación con token de acceso de MediaTailor Secrets Manager, siga el procedimientoIntegración con MediaPackage puntos finales que utilizan la autorización CDN.

Puede crear un secreto de Secrets Manager mediante el AWS Management Console o mediante programación con Secrets Manager. APIs

Para crear un secreto

Sigue los pasos para crear y gestionar secretos con AWS Secrets Manager en el AWS Secrets Manager Guía del usuario.

Ten en cuenta las siguientes consideraciones a la hora de crear tu secreto:

  • KmsKeyIdDebe ser la clave ARN de la clave gestionada por el cliente que creaste en el paso 1.

  • Debe proporcionar un SecretString. SecretStringDebe ser un JSON objeto válido que incluya una clave y un valor que contengan el token de acceso. Por ejemplo, {» MyAccessTokenIdentifier «:"112233445566"}. El valor debe tener entre 8 y 128 caracteres.

    Al configurar la ubicación de origen con la autenticación por token de acceso, se especifica la SecretString clave. MediaTailor utiliza la clave para buscar y recuperar el token de acceso almacenado enSecretString.

    Anote el secreto ARN y la SecretString clave. Los usarás cuando configures la ubicación de origen para usar la autenticación con token de acceso.

Adjuntar una política secreta basada en recursos

Para permitir el MediaTailor acceso al valor secreto, debe adjuntar al secreto una política basada en recursos. Para obtener más información, consulte Adjuntar una política de permisos a un AWS Secrets Manager Secret in the AWS Secrets Manager Guía del usuario.

El siguiente es un ejemplo de declaración de política que puede agregar para MediaTailor:

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "<secret ARN" 
        } 
    ] 

}

Paso 3: Configurar una ubicación de MediaTailor origen con la autenticación del token de acceso

Puede configurar la autenticación mediante el token de acceso de Secrets Manager mediante el AWS Management Console o mediante programación con. MediaTailor APIs

Para configurar una ubicación de origen con la autenticación mediante token de acceso a Secrets Manager

Siga los pasos que se indican Access configuration en la AWS Elemental MediaTailor Guía del usuario.