Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect - AWS Elemental MediaConnect
Étape 1 : Adhérez à un fournisseur CAÉtape 2 : créer une politique pour un proxy API GatewayÉtape 3 : Création d'un rôle IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect

Avant de pouvoir octroyer un droit utilisant le chiffrement SPEKE, vous devez effectuer les étapes suivantes :

Étape 1. — Adhérez à un fournisseur de clés de plateforme d'accès conditionnel (CA) qui gérera votre clé de chiffrement. Au cours de ce processus, vous créez une API dans Amazon API Gateway qui envoie des demandes au nom d'AWS Elemental MediaConnect au fournisseur clé.

Étape 2 — Créez une politique IAM qui permet à l'API que vous avez créée à l'étape 1 d'agir en tant que proxy pour envoyer des demandes au fournisseur de clés.

Étape 3. — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental en MediaConnect tant qu'entité de confiance autorisée à assumer ce rôle et à accéder au point de terminaison API Gateway en votre nom.

Étape 1 : Adhérez à un fournisseur CA

Pour utiliser SPEKE avec AWS MediaConnect Elemental, vous devez disposer d'un fournisseur de clés de plate-forme CA. Les AWS partenaires suivants fournissent des solutions d'accès conditionnel (CA) pour la MediaConnect personnalisation de SPEKE :

Si vous êtes à l'origine de contenu, contactez votre fournisseur de clés de plate-forme CA pour obtenir de l'aide concernant le processus d'intégration. Avec l'aide de votre fournisseur clé de plate-forme CA, vous gérez qui a accès à quel contenu.

Pendant le processus d'intégration, prenez note des points suivants :

  • ARN de la demande de POST méthode : nom de ressource Amazon (ARN) AWS attribué à la demande que vous créez dans API Gateway.

  • Vecteur d'initialisation constant (facultatif) : valeur hexadécimale de 128 bits et 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour chiffrer le contenu.

  • ID de l'appareil : identifiant unique pour chaque appareil que vous configurez avec le fournisseur de clés. Chaque appareil représente un destinataire différent pour votre contenu.

  • ID de ressource : identifiant unique que vous créez pour chaque élément de contenu que vous configurez avec le fournisseur de clés.

  • URL : URL attribuée par AWS l'API que vous créez dans Amazon API Gateway.

Vous aurez besoin de ces valeurs ultérieurement, lorsque vous configurerez le droit dans MediaConnect.

Étape 2 : créer une politique IAM pour autoriser API Gateway à agir en tant que proxy

À l'étape 1, vous avez travaillé avec un fournisseur de clés de plate-forme CA qui gère votre clé de chiffrement. Au cours de cette étape, vous créez une politique IAM qui permet à API Gateway de faire des demandes en votre nom. API Gateway agit comme un proxy pour la communication entre votre compte et le fournisseur clé.

Pour créer une politique IAM pour un proxy API Gateway

  1. Dans le volet de navigation de la console IAM, choisissez Stratégies.

  2. Choisissez Create policy, puis sélectionnez l'onglet JSON.

  3. Entrez une politique qui utilise le format suivant :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "execute-api:Invoke"
      ],
      "Resource": [
        "arn:aws:execute-api:us-west-2:111122223333:1abcdefghi/*/POST/*"
      ]
    }
  ]
}

    Dans Resource cette section, remplacez l'exemple Amazon Resource Name (ARN) par l'ARN de la demande de POST méthode que vous avez créée dans API Gateway avec le fournisseur de clés de la plateforme CA.

  4. Choisissez Examiner une politique.

  5. Pour Name (Nom), saisissez APIGateway-Proxy-Access.

  6. Sélectionnez Create policy (Créer une politique).

Étape 3 : créer un rôle IAM avec une relation de confiance

À l'étape 2, vous avez créé une politique d'accès au proxy APIGateway qui permet à API Gateway d'agir en tant que proxy et de faire des demandes en votre nom. Au cours de cette étape, vous créez un rôle IAM et associez les autorisations suivantes :

  • La politique d'accès au proxy APIGateway-proxy permet à Amazon API Gateway d'agir en tant que proxy en votre nom afin de pouvoir effectuer des demandes entre votre compte et le fournisseur de clés de la plate-forme CA. Il s'agit de la politique que vous avez créée à l'étape 1.

  • Une politique de relation de confiance permet à AWS Elemental MediaConnect d'assumer le rôle en votre nom. Vous allez créer cette politique dans le cadre de la procédure suivante.

Pour créer un rôle IAM avec une relation de confiance

  1. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles).

  2. Sur la page Rôle, choisissez Créer un rôle.

  3. Sur la page Créer un rôle, dans Sélectionner le type d'entité approuvée, choisissez service AWS (la valeur par défaut).

  4. Sous Choisir le service qui utilisera ce rôle, choisissez EC2.

    Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Pour les politiques de filtrage, choisissez Gestion par le client.

  7. Cochez la case à côté de APIGateway-Proxy-Access, puis choisissez Next : Tags.

  8. Entrez les valeurs des balises (facultatif), puis choisissez Next : Review.

  9. Pour Nom du rôle, entrez un nom tel queSpekeAccess.

  10. Pour la description du rôle, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, Allows AWS Elemental MediaConnect to talk to API Gateway on my behalf.

  11. Sélectionnez Créer un rôle.

  12. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.

  13. Choisissez Relations de confiance, puis sélectionnez Modifier la relation de confiance.

  14. Pour le document de stratégie, modifiez la politique pour qu'elle ressemble à ceci : 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "mediaconnect.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  15. Choisissez Mettre à jour la politique d'approbation.

  16. Sur la page Résumé, prenez note de la valeur du champ ARN de rôle. Il se présente comme suit : arn:aws:iam::111122223333:role/SpekeAccess.