Configuration de l'autorisation CDN

Procédez comme suit pour configurer l'autorisation CDN.

Étape 1 : Configurer un en-tête HTTP d'origine personnalisé CDN

Dans votre CDN, configurez un en-tête HTTP d'origine personnalisé qui contient l'en-tête X-MediaPackage-CDNIdentifier et une valeur. Pour la valeur, nous vous recommandons d'utiliser le format UUID version 4, qui produit une chaîne de 36 caractères. Si vous n'utilisez pas le format UUID version 4, la valeur doit être de 8 à 128 caractères.

Important

La valeur que vous choisissez doit être une valeur statique. Il n'y a pas d'intégration native entre votre CDN et AWS Secrets Manager, donc la valeur doit être statique à la fois dans votre CDN et dans AWS Secrets Manager. Si vous modifiez cette valeur après avoir configuré votre CDN et votre secret, vous devez faire pivoter la valeur manuellement. Pour plus d’informations, consultez Rotation de la valeur d'en-tête CDN.

Exemple d'en-tête et de valeur

X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660

Pour créer un en-tête personnalisé dans Amazon CloudFront

1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

2. Créez ou modifiez une distribution.

3. Dans Paramètres d'origine, remplissez les champs. Vous utiliserez cette même valeur pour votre secret dans Secrets Manager.

   • Pour Nom de l'en-tête, entrez X-MediaPackage-CDNIdentifier.

   • Pour Valeur, entrez une valeur. Nous vous recommandons d'utiliser le format UUID version 4, qui produit une chaîne de 36 caractères. Si vous n'utilisez pas le format UUID version 4, la valeur doit être de 8 à 128 caractères.

4. Remplissez le reste des champs et enregistrez la distribution.

Pour plus d'informations sur les en-têtes personnalisés dans CloudFront, consultez la section Transférer les en-têtes des clients vers votre origine dans le manuel Amazon CloudFront Developer Guide.

Étape 2 : Stocker la valeur comme un secret dans AWS Secrets Manager

Stockez la même valeur que celle que vous utilisez dans votre en-tête HTTP d'origine personnalisé en tant que secret dans AWS Secrets Manager. Le secret doit utiliser les mêmes paramètres de compte AWS et de région que vos ressources AWS Elemental MediaPackage. MediaPackage ne prend pas en charge le partage de secrets entre les comptes ou les régions. Toutefois, vous pouvez utiliser le même secret sur plusieurs points de terminaison dans une même région et sur un même compte.

Pour enregistrer un secret dans Secrets Manager

1. Connectez-vous à la console AWS Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

2. Choisissez Store a new secret (Stocker un nouveau secret). Dans Type de secret, choisissez Autre type de secret.

3. Pour les paires clé/valeur, entrez les informations relatives à la clé et à la valeur.

   • Dans la zone de gauche, entrez MediaPackageCDNIdentifier.

   • Dans la zone de droite, entrez la valeur que vous avez configurée pour votre en-tête HTTP d'origine personnalisé. Par exemple, 9ceebbe7-9607-4552-8764-876e47032660.

4. Pour la clé de chiffrement, vous pouvez conserver la valeur par défaut DefaultEncryptionKey.

5. Choisissez Suivant.

6. Pour Nom secret, nous vous recommandons de le préfixer avec MediaPackage/ afin de savoir que c'est un secret utilisé pour MediaPackage. Par exemple, MediaPackage/cdn_auth_us-west-2.

7. Choisissez Suivant.

8. Pour Configurer la rotation automatique, conservez le paramètre Désactiver la rotation automatique par défaut.

   Si vous devez effectuer une rotation du code d'autorisation ultérieurement, veuillez consulter Rotation de la valeur d'en-tête CDN.

9. Choisissez Suivant, puis Stocker.

   Cela vous amène à la liste de vos secrets.

10. Sélectionnez votre nom secret pour afficher l'ARN du secret. L'ARN a une valeur similaire à arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx. Vous utilisez l'ARN secret lorsque vous configurez l'autorisation CDN pour MediaPackage à l'étape 4 : Activer l'autorisation CDN dans MediaPackage.

Étape 3 : Création d'une politique et d'un rôle IAM pour MediaPackage accéder à Secrets Manager

Créez une politique et un rôle IAM pour donner un accès en MediaPackage lecture à Secrets Manager. Lorsque MediaPackage reçoit une demande de lecture du CDN, il vérifie que la valeur secrète stockée correspond à la valeur de l'en-tête HTTP personnalisé. Suivez les étapes de la section AWS Elemental MediaPackagePermettre l'accès à d'autres AWS services pour configurer la stratégie et le rôle.

Étape 4 : activer l'autorisation du CDN dans MediaPackage

Vous pouvez activer l'autorisation CDN pour vos points de terminaison ou vos groupes de packages de vidéo à la demande (VOD) à l'aide de la MediaPackage console ou de l'APIAWS CLI. MediaPackage Vous utilisez l'ARN pour la stratégie et le rôle IAM que vous créez à l'étape 3 : créer une stratégie et un rôle IAM pour MediaPackage accéder à Secrets Manager.

Astuce

Utilisez le même secret sur plusieurs points de terminaison dans la même région et sur le même compte. Vous pouvez réduire les coûts en créant un nouveau secret uniquement lorsque cela est nécessaire pour votre flux de travail.

Pour activer l'autorisation CDN pour le contenu en direct avec la console

1. Ouvrez la MediaPackage console à l'adresse https://console.aws.amazon.com/mediapackage/.

2. Si vous n'avez pas encore de canal, créez-en un. Pour obtenir de l'aide, veuillez consulter Création d'un canal.

3. Créez ou modifiez un point de terminaison.

4. Dans les paramètres de contrôle d'accès, sélectionnez Utiliser l'autorisation CDN. Remplissez les champs :

   • Dans ARN du rôle secret, entrez l'ARN du rôle IAM que vous avez créé dansÉtape 3 : Création d'une politique et d'un rôle IAM pour MediaPackage accéder à Secrets Manager.

   • Dans le champ CDN secret ARN, entrez l'ARN du secret dans Secrets Manager que votre CDN utilise pour autoriser l'accès à votre point de terminaison.

5. Remplissez les champs restants selon vos besoins et enregistrez le point de terminaison.

Pour activer l'autorisation CDN pour le contenu VOD avec la console

1. Ouvrez la MediaPackage console à l'adresse https://console.aws.amazon.com/mediapackage/.

2. Si vous n'avez pas encore de groupe d'empaquetage VOD, créez-en un. Pour obtenir de l'aide, veuillez consulter Création d'un groupe d'emballages.

3. Créez ou modifiez un groupe d'empaquetage.

4. Dans Configurer le contrôle d'accès, sélectionnez Activer l'autorisation. Remplissez les champs :

   • Dans ARN du rôle secret, entrez l'ARN du rôle IAM que vous avez créé dansÉtape 3 : Création d'une politique et d'un rôle IAM pour MediaPackage accéder à Secrets Manager.

   • Dans le champ CDN secret ARN, entrez l'ARN du secret dans Secrets Manager que votre CDN utilise pour autoriser l'accès à votre point de terminaison.

5. Remplissez les champs restants selon vos besoins et enregistrez le groupe d'empaquetage.

Vous avez maintenant terminé la configuration de l'autorisation CDN. Les demandes adressées à ce point de terminaison doivent contenir le même code d'autorisation que celui que vous avez enregistré dans Secrets Manager.

Pour activer l'autorisation du CDN avec l'API MediaPackage

Pour plus d'informations sur l'activation de l'autorisation CDN avec l' MediaPackage API, consultez les références d'API suivantes :

• MediaPackage référence d'API en direct

• MediaPackage Référence de l'API VOD