Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client
Vous l'utilisez AWS Secrets Manager pour stocker votre jeton d'accès sous la forme d'un code secret. SecretString
SecretString
Il est chiffré à l'aide d'une cléAWS KMS symétrique gérée par le client que vous créez, détenez et gérez. MediaTailor utilise la clé symétrique gérée par le client pour faciliter l'accès au secret avec une autorisation, et pour chiffrer et déchiffrer la valeur du secret.
Les clés gérées par le client vous permettent d'effectuer des tâches telles que les suivantes :
-
Établissement et gestion des stratégies de clé
-
Établir et maintenir IAM des politiques et des subventions
-
Activation et désactivation des stratégies de clé
-
Matériau clé cryptographique rotatif
-
Ajout de balises
Pour plus d'informations sur la manière dont Secrets Manager protège les secrets, consultez la rubrique Comment les AWS Secrets Manager utiliser AWS KMS dans le Guide du AWS Key Management Service développeur. AWS KMS
Pour plus d'informations sur les clés gérées par le client, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service .
Note
AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur la tarification, consultez la page de tarification du service de gestion des AWS clés
Vous pouvez créer une clé AWS KMS symétrique gérée par le client à l'aide du AWS Management Console ou par programmation avec le. AWS KMS APIs
Pour créer une clé symétrique gérée par le client
Suivez les étapes de création d'une clé symétrique gérée par le client dans le guide du AWS Key Management Service développeur.
Notez la clé Amazon Resource Name (ARN) ; vous en aurez besoinÉtape 2 : créer un AWS Secrets Manager secret.
Contexte de chiffrement
Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.
Secrets Manager inclut un contexte de chiffrement lors du chiffrement et du déchiffrement du. SecretString
Le contexte de chiffrement inclut le secretARN, ce qui limite le chiffrement à ce secret spécifique. Comme mesure de sécurité supplémentaire, MediaTailor crée une AWS KMS subvention en votre nom. MediaTailor applique une GrantConstraintsopération qui nous permet uniquement de déchiffrer le secret SecretString
associé au secret ARN contenu dans le contexte de chiffrement de Secrets Manager.
Pour plus d'informations sur la manière dont Secrets Manager utilise le contexte de chiffrement, consultez la rubrique Contexte de chiffrement du Guide du AWS Key Management Service développeur.
Définition de la politique clé
Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez utiliser la politique de clé par défaut. Pour plus d'informations, consultez la section Authentification et contrôle d'accès AWS KMS dans le guide du AWS Key Management Service développeur.
Pour utiliser votre clé gérée par le client avec vos ressources de localisation MediaTailor source, vous devez autoriser le IAM principal qui appelle CreateSourceLocationou UpdateSourceLocationà effectuer les API opérations suivantes :
-
kms:CreateGrant
: ajoute une attribution à une clé gérée par le client. MediaTailor crée une autorisation sur votre clé gérée par le client qui lui permet d'utiliser la clé pour créer ou mettre à jour un emplacement source configuré avec l'authentification par jeton d'accès. Pour plus d'informations sur l'utilisation de Grants dans AWS KMS, consultez le guide du AWS Key Management Service développeur.Cela permet MediaTailor d'effectuer les opérations suivantes :
-
Appelez
Decrypt
pour qu'il puisse récupérer avec succès le secret de votre Gestionnaire de Secrets Manager lors de l'appel GetSecretValue. -
Appelez
RetireGrant
pour annuler l'autorisation lorsque l'emplacement source est supprimé ou lorsque l'accès au secret a été révoqué.
-
Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :
{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account number
:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region
.amazonaws.com" } } }
Pour plus d'informations sur la définition des autorisations dans une politique et la résolution des problèmes d'accès par clé, consultez la section Subventions AWS KMS dans le guide du AWS Key Management Service développeur.