Chiffrement de contenu - MediaConvert

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de contenu

Utilisez la procédure suivante pour activer le chiffrement du contenu dans les groupes de sorties CMAF, DASH ISO, Apple HLS et MS Smooth.

AWS Elemental MediaConvert prend en charge les combinaisons suivantes de groupes de sortie et de systèmes DRM, avec SPEKE v1.0.

Groupe de sorties Microsoft PlayReady Google Widevine Apple FairPlay
DASH
Apple HLS
Microsoft Smooth
CMAF

Pour utiliser cette procédure, vous devez être familiarisé avec les groupes de sorties. Pour plus d'informations, consultez Étape 3 : Création de groupes de sortie.

Pour chiffrer du contenu

  1. Configurez votre tâche de transcodage comme d'habitude. Pour plus d'informations, consultez Configuration d'une tâche dans AWS Elemental MediaConvert.

  2. Sur la page Créer une Job, dans le volet Tâches de gauche, sous Groupes de sortie, choisissez le groupe de sortie pour lequel vous souhaitez activer le chiffrement.

  3. Activez le DRM encryption (Chiffrement DRM).

  4. Pour les groupes de sorties CMAF et Apple HLS, choisissez la méthode de chiffrement. Veillez à choisir une méthode de chiffrement qui fonctionne avec le système DRM que vous utilisez.

    Pour les groupes de sortie DASH ISO et MS Smooth, vous ne spécifiez pas la méthode de cryptage. MediaConvert utilise toujours le cryptage AES-CTR (AES-128) avec ces groupes de sortie.

  5. Pour les groupes de sorties CMAF et Apple HLS, choisissez la source de la clé de chiffrement de contenu. Pour Key provider type (Type de fournisseur de clé), choisissez SPEKE pour chiffrer à l'aide d'une clé fournie par votre fournisseur de solution DRM ou choisissez Static key (Clé statique) pour entrer votre propre clé.

    Pour les groupes de sorties DASH ISO et MS Smooth, vous ne spécifiez pas la source pour la clé de chiffrement de contenu. Avec ces groupes de sortie, MediaConvert effectue la gestion des droits numériques uniquement avec un fournisseur de clés conforme à SPEKE.

Note

MediaConvert ne prend pas en charge le chiffrement du contenu DRM pour les codecs vidéo de sortie suivants : AV1, VP8 et VP9.

Paramètres de cryptage SPEKE

Lorsque vous demandez le chiffrement, vous fournissez des paramètres d'entrée qui permettent au service de localiser le serveur de clés de votre fournisseur de solution DRM, de vous authentifier en tant qu'utilisateur et de demander les clés d'encodage adéquates. Certaines options ne sont disponibles que pour des groupes de sortie particuliers.

Saisissez les paramètres de chiffrement SPEKE comme suit :

  • Pour ID de ressource, entrez un identifiant pour le contenu. Le service envoie cette information au serveur de clés afin d'identifier le point de terminaison actuel. Le caractère unique que vous souhaitez donner à ce système dépend de la précision avec laquelle vous souhaitez que les contrôles d'accès soient. Le service ne vous permet pas d'utiliser le même identifiant pour deux processus de chiffrement simultanés. L'ID de ressource est également appelé ID de contenu.

    L'exemple suivant montre un ID de ressource.

    MovieNight20171126093045
  • Pour System ID (ID système), entrez des identifiants uniques pour votre protocole de streaming et votre système DRM. Le nombre d'ID système que vous pouvez spécifier varie selon le type de groupe de sortie :

    • CMAF — Pour les identifiants système signalés en DASH, spécifiez au moins un et jusqu'à trois identifiants. Pour System ID signaled in HLS (ID système signalé dans HLS), spécifiez un ID.

    • DASH — Pour System ID, spécifiez au moins un et jusqu'à deux ID.

    • Apple HLS : pour l'identifiant du système, spécifiez un identifiant.

    Si vous indiquez plusieurs ID système dans un seul champ, saisissez-les sur des lignes distinctes et ne les séparez pas par des virgules ou tout autre signe de ponctuation.

    Pour obtenir la liste des ID système courants, consultez ID système DASH-IF. Si vos ne connaissez pas vos ID, consultez le fournisseur de votre solution DRM.

  • Pour URL, entrez l'URL du proxy API Gateway que vous configurez pour communiquer avec votre serveur de clés. Le proxy API Gateway doit résider dans le même emplacementRégion AWS que MediaConvert.

    L'exemple suivant montre une URL.

    https://1wm2dx1f33.execute-api.us-west-2.amazonaws.com/SpekeSample/copyProtection
  • (Facultatif) Pour l'ARN du certificat, entrez un ARN de certificat RSA 2048 à utiliser pour le chiffrement de la clé de contenu. N'utilisez cette option que si votre fournisseur de clés DRM prend en charge le chiffrement de clés de contenu. Si vous l'utilisez alors que votre fournisseur de clés ne prend pas en charge cette fonctionnalité, la demande échoue.

    Pour saisir un ARN de certificat ici, vous devez déjà avoir importé le certificat correspondantAWS Certificate Manager, saisi l'ARN du certificat d'ACM dans le volet MediaConvert Certificats et l'avoir associé à MediaConvert. Pour plus d'informations, consultez Utilisation de clés de contenu cryptées avec DRM.

    L'exemple ci-dessous présente l'ARN d'un certificat.

    arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e

Options de configuration supplémentaires pour Apple HLS et CMAF

  • (Facultatif) Dans Vecteur d'initialisation constant, entrez une valeur hexadécimale de 128 bits, 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour le chiffrement de contenu.

Paramètres de chiffrement par clé statique

Les options suivantes sont destinées au chiffrement des clés statiques :

  • Valeur de clé statique : chaîne valide pour le chiffrement du contenu.

  • URL : URL à inclure dans le manifeste afin que les appareils des lecteurs puissent déchiffrer le contenu.