Configuration du chiffrement des SRT mots de passe à l'aide d'AWSElemental MediaConnect - AWSÉlémentaire MediaConnect
Étape 1 : Enregistrez votre mot de passe de cryptage dans AWS Secrets ManagerÉtape 2. Créez une politique pour autoriser MediaConnect l'accès à votre secretÉtape 3. Créez un rôle avec une relation de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du chiffrement des SRT mots de passe à l'aide d'AWSElemental MediaConnect

Avant de créer un flux avec une source chiffrée ou une sortie utilisant le chiffrement par SRT mot de passe, vous devez effectuer les étapes suivantes :

Étape 1 — Stockez votre SRT mot de passe en tant que secret dans AWS Secrets Manager.

Étape 2 — Créez une IAM politique permettant à AWS Elemental de MediaConnect lire le secret dans AWS Secrets Manager lequel vous l'avez stocké.

Étape 3 — Créez un IAM rôle et associez la politique que vous avez créée à l'étape 2. Ensuite, configurez AWS Elemental MediaConnect en tant qu'entité de confiance autorisée à assumer ce rôle et à faire des demandes au nom de votre compte.

Étape 1 : Enregistrez votre mot de passe de cryptage dans AWS Secrets Manager

Pour utiliser le cryptage par SRT mot de passe pour chiffrer votre MediaConnect contenu AWS Elemental, vous devez AWS Secrets Manager créer un secret qui stocke le mot de passe. Vous devez créer le secret et la ressource (source ou sortie) qui utilise le secret dans le même AWS compte. Vous ne pouvez pas partager des secrets entre comptes.

Note

Si vous utilisez deux flux pour distribuer des vidéos d'une AWS région à l'autre, vous devez créer deux secrets (un secret dans chaque région).

Si vous créez un nouveau SRT mot de passe pour chiffrer une sortie, nous vous recommandons de suivre la politique de mot de passe suivante :

  • Longueur minimale du mot de passe de 10 caractères et maximale de 80 caractères

  • Au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres et les symboles ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Ne pas être identique au nom de votre AWS compte ou à votre adresse e-mail

Pour enregistrer un mot de passe dans Secrets Manager

  1. Connectez-vous à la AWS Secrets Manager console à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Dans la page Stocker un nouveau secret, pour Sélectionner un type de secret, choisissez Autre type de secrets.

  3. Pour les paires clé/valeur, choisissez Plaintext.

  4. Effacez le texte de la zone et remplacez-le uniquement par la valeur du SRT mot de passe.

  5. Pour la clé de chiffrement, conservez le réglage par défaut sur aws/secretsmanager.

  6. Choisissez Suivant.

  7. Pour Nom du secret, spécifiez un nom pour votre secret qui vous aidera à l'identifier ultérieurement. Par exemple, 2018-12-01_baseball-game-source.

  8. Choisissez Suivant.

  9. Dans la section Configurer la rotation automatique, laissez la rotation automatique désactivée.

  10. Choisissez Suivant, puis Stocker. Sur l'écran suivant, sélectionnez le nom du secret que vous avez créé.

    La page de détails de votre nouveau secret apparaît, affichant des informations telles que le secretARN.

  11. Notez le secret ARN dans Secrets Manager. Vous aurez besoin de cette information dans la procédure suivante.

Étape 2 : Créez une IAM politique pour permettre à AWS Elemental MediaConnect d'accéder à votre secret

À l'étape 1, vous avez créé un secret et l'avez enregistré dans AWS Secrets Manager. Au cours de cette étape, vous créez une IAM politique qui permet MediaConnect à AWS Elemental de lire le secret que vous avez stocké.

Pour créer une IAM politique permettant d'accéder MediaConnect à votre secret

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, sélectionnez Policies.

  3. Choisissez Créer une politique, puis sélectionnez l'JSONonglet.

  4. Entrez une politique qui utilise le format suivant :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret",
        "secretsmanager:ListSecretVersionIds"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
      ]
    }
  ]
}

    Dans Resource cette section, chaque ligne représente ARN le secret que vous avez créé. Entrez le secret ARN de la procédure précédente. Choisissez Suivant : Balises.

  5. Choisissez Suivant : Vérification.

  6. Dans Nom, entrez un nom pour votre politique, tel queSecretsManagerForMediaConnect.

  7. Choisissez Create Policy (Créer une politique).

Étape 3 : créer un IAM rôle avec une relation de confiance

À l'étape 2, vous avez créé une IAM politique qui autorise l'accès en lecture au secret dans lequel vous l'avez stocké AWS Secrets Manager. Au cours de cette étape, vous créez un IAM rôle et attribuez la politique à ce rôle. Ensuite, vous définissez AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle. Cela permet d' MediaConnect avoir un accès en lecture à votre secret.

Pour créer un rôle avec une relation de confiance

  1. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

  2. Sur la page Rôle, choisissez Créer un rôle.

  3. Sur la page Créer un rôle, dans Sélectionner le type d'entité approuvée, choisissez service AWS (la valeur par défaut).

  4. Pour Choisir le service qui utilisera ce rôle, choisissez EC2.

    Vous choisissez EC2 car AWS Elemental n' MediaConnect est actuellement pas inclus dans cette liste. En choisissantEC2, vous pouvez créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu deEC2.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Pour Joindre des politiques d'autorisation, entrez le nom de la politique que vous avez créée à l'étape 2, par exempleSecretsManagerForMediaConnect.

  7. Pour SecretsManagerForMediaConnect, cochez la case, puis choisissez Next.

  8. Pour Nom du rôle (Role name), saisissez un nom. Nous vous recommandons vivement de ne pas utiliser le nom MediaConnectAccessRole car il est réservé. Utilisez plutôt un nom qui inclut MediaConnect et décrit l'objectif de ce rôle, tel queMediaConnect-ASM.

  9. Pour la description du rôle, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, Allows MediaConnect to view secrets stored in AWS Secrets Manager.

  10. Sélectionnez Créer un rôle.

  11. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.

  12. Sélectionnez l'onglet Trust relationships (Relations d'approbation), puis Edit trust policy (Modifier la relation d'approbation).

  13. Pour Modifier la politique de confiance, passez ec2.amazonaws.com àmediaconnect.amazonaws.com.

    Le document de stratégie doit maintenant ressembler à l'exemple suivant : 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "mediaconnect.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  14. Choisissez Mettre à jour une politique.

  15. Sur la page Résumé, notez la valeur de Role ARN. Il se présente comme suit : arn:aws:iam::111122223333:role/MediaConnectASM.