Configuration du chiffrement par clé statique à l'aide d'AWS Elemental MediaConnect - AWS Elemental MediaConnect
Étape 1 : Stockez votre clé de chiffrement dans AWS Secrets ManagerÉtape 2. Créez une politique pour autoriser MediaConnect l'accès à votre secretÉtape 3. Créez un rôle avec une relation de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du chiffrement par clé statique à l'aide d'AWS Elemental MediaConnect

Avant de créer un flux avec une source chiffrée, une sortie ou un droit utilisant le chiffrement par clé statique, vous devez effectuer les étapes suivantes :

Étape 1 — Stockez votre clé de chiffrement en tant que secret dans AWS Secrets Manager.

Étape 2 — Créez une politique IAM qui permet à AWS MediaConnect Elemental de lire le secret dans lequel vous l'avez stocké. AWS Secrets Manager

Étape 3 — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental MediaConnect en tant qu'entité de confiance autorisée à assumer ce rôle et à effectuer des demandes au nom de votre compte.

Note

MediaConnect prend en charge le chiffrement uniquement pour les droits, ainsi que pour les sources et les sorties utilisant les protocoles Zixi et SRT. Votre clé enregistrée dans Secrets Manager pour le protocole Zixi est une clé statique au format hexadécimal. SRT utilise une clé d'accès pour le chiffrement.

Étape 1 : Stockez votre clé de chiffrement dans AWS Secrets Manager

Pour utiliser le chiffrement par clé statique afin de chiffrer votre contenu AWS MediaConnect Elemental, vous devez AWS Secrets Manager créer un secret qui stocke la clé de chiffrement. Vous devez créer le secret et la ressource (source, sortie ou autorisation) qui utilise le secret dans le même AWS compte. Vous ne pouvez pas partager des secrets entre comptes.

Note

Si vous utilisez deux flux pour distribuer des vidéos d'une AWS région à l'autre, vous devez créer deux secrets (un secret dans chaque région).

Pour stocker une clé de chiffrement dans Secrets Manager

  1. Obtenez la clé de chiffrement auprès de l'entité qui gère la source.

  2. Connectez-vous à la AWS Secrets Manager console à l'adresse https://console.aws.amazon.com/secretsmanager/.

  3. Dans la page Stocker un nouveau secret, pour Sélectionner un type de secret, choisissez Autre type de secrets.

  4. Pour les paires clé/valeur, choisissez Plaintext.

  5. Effacez le texte de la zone et remplacez-le uniquement par la valeur de la clé de chiffrement. Pour les clés hexadécimales, vérifiez la longueur de la clé pour vous assurer qu'elle correspond à la longueur spécifiée pour le type de chiffrement. Par exemple, une clé de chiffrement AES-256 doit comporter 64 chiffres, car chaque chiffre a une taille de 4 bits.

  6. Pour Sélectionner la clé de chiffrement, conservez le paramètre par défaut défini sur DefaultEncryptionClé.

  7. Choisissez Suivant.

  8. Pour Nom du secret, spécifiez un nom pour votre secret qui vous aidera à l'identifier ultérieurement. Par exemple, 2018-12-01_baseball-game-source.

  9. Choisissez Suivant.

  10. Dans la section Configurer la rotation automatique, choisissez Désactiver la rotation automatique.

  11. Choisissez Suivant, puis Stocker.

    La page de détails de votre nouveau secret apparaît et affiche des informations telles que le nom ARN du secret.

  12. Notez l'ARN secret fourni par Secrets Manager. Vous aurez besoin de cette information dans la procédure suivante.

Étape 2 : créer une politique IAM pour permettre à AWS MediaConnect Elemental d'accéder à votre secret

À l'étape 1, vous avez créé un secret et l'avez enregistré dans AWS Secrets Manager. Au cours de cette étape, vous créez une politique IAM qui permet à AWS MediaConnect Elemental de lire le secret que vous avez stocké.

Pour créer une politique IAM permettant d'accéder MediaConnect à votre secret

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la console IAM, choisissez Stratégies.

  3. Choisissez Create policy, puis sélectionnez l'onglet JSON.

  4. Entrez une politique qui utilise le format suivant :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret",
        "secretsmanager:ListSecretVersionIds"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
      ]
    }
  ]
}

    Dans Resource cette section, chaque ligne représente l'ARN d'un secret différent que vous avez créé. Pour obtenir plus d’exemples, consultez Exemples de politiques IAM pour les secrets dans AWS Secrets Manager.

  5. Choisissez Examiner une politique.

  6. Dans Nom, entrez un nom pour votre politique, tel queSecretsManagerForMediaConnect.

  7. Choisissez Créer une politique.

Étape 3 : créer un rôle IAM avec une relation de confiance

À l'étape 2, vous avez créé une politique IAM qui autorise l'accès en lecture au secret dans AWS Secrets Manager lequel vous l'avez stocké. Au cours de cette étape, vous créez un rôle IAM et attribuez la politique à ce rôle. Vous définissez ensuite AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle. Cela permet d' MediaConnect avoir un accès en lecture à votre secret.

Pour créer un rôle avec une relation de confiance

  1. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles).

  2. Sur la page Rôle, choisissez Créer un rôle.

  3. Sur la page Créer un rôle, dans Sélectionner le type d'entité approuvée, choisissez service AWS (la valeur par défaut).

  4. Sous Choisir le service qui utilisera ce rôle, choisissez EC2.

    Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Pour Joindre des politiques d'autorisation, entrez le nom de la politique que vous avez créée à l'étape 2, par exempleSecretsManagerForMediaConnect.

  7. Pour SecretsManagerReadWrite, cochez la case, puis choisissez Suivant : Révision.

  8. Pour Nom du rôle (Role name), saisissez un nom. Nous vous recommandons vivement de ne pas utiliser le nom MediaConnectAccessRole car il est réservé. Utilisez plutôt un nom qui inclut MediaConnect et décrit l'objectif de ce rôle, tel queMediaConnect-ASM.

  9. Pour la description du rôle, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, Allows MediaConnect to view secrets stored in AWS Secrets Manager.

  10. Sélectionnez Créer un rôle.

  11. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.

  12. Sélectionnez l'onglet Trust relationships (Relations d'approbation), puis Edit trust policy (Modifier la relation d'approbation).

  13. dans la fenêtre Modifier la politique de confiance, apportez les modifications suivantes au JSON :

    • Pour le service, remplacez ec2.amazonaws.com par mediaconnect.amazonaws.com

    • Pour plus de sécurité, définissez des conditions spécifiques pour la politique de confiance. Cela se limitera MediaConnect à l'utilisation des seules ressources de votre compte. Pour ce faire, utilisez une condition globale telle que l'ID de compte, l'ARN du flux, ou les deux. Consultez l'exemple suivant de politique de confiance conditionnelle. Pour plus d'informations sur les avantages en matière de sécurité liés à la situation mondiale, consultez la section Prévention interservices de la confusion des adjoints.

      Note

      L'exemple suivant utilise à la fois les conditions d'ID de compte et d'ARN du flux. Votre politique sera différente si vous n'utilisez pas les deux conditions. Si vous ne connaissez pas l'ARN complet du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition de contexte aws:SourceArn global avec des caractères génériques (*) pour les parties inconnues de l'ARN. Par exemple, arn:aws:mediaconnect:*:111122223333:*.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediaconnect.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
                }
            }
        }
    ]
}

  14. Choisissez Mettre à jour la politique d'approbation.

  15. Sur la page Résumé, prenez note de la valeur du champ ARN de rôle. Il se présente comme suit : arn:aws:iam::111122223333:role/MediaConnectASM.