Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client - AWS Elemental MediaTailor
Pour créer une clé symétrique gérée par le clientContexte de chiffrementDéfinition de la politique clé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client

Vous l'utilisez AWS Secrets Manager pour stocker votre jeton d'accès sous la forme d'un code secret. SecretString SecretStringIl est chiffré à l'aide d'une cléAWS KMS symétrique gérée par le client que vous créez, détenez et gérez. MediaTailor utilise la clé symétrique gérée par le client pour faciliter l'accès au secret avec une autorisation, et pour chiffrer et déchiffrer la valeur du secret.

Les clés gérées par le client vous permettent d'effectuer des tâches telles que les suivantes :

  • Établissement et gestion des stratégies de clé

  • Établir et maintenir IAM des politiques et des subventions

  • Activation et désactivation des stratégies de clé

  • Matériau clé cryptographique rotatif

  • Ajout de balises

    Pour plus d'informations sur la manière dont Secrets Manager protège les secrets, consultez la rubrique Comment les AWS Secrets Manager utiliser AWS KMS dans le Guide du AWS Key Management Service développeur. AWS KMS

    Pour plus d'informations sur les clés gérées par le client, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service .

Note

AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur la tarification, consultez la page de tarification du service de gestion des AWS clés.

Vous pouvez créer une clé AWS KMS symétrique gérée par le client à l'aide du AWS Management Console ou par programmation avec le. AWS KMS APIs

Pour créer une clé symétrique gérée par le client

Suivez les étapes de création d'une clé symétrique gérée par le client dans le guide du AWS Key Management Service développeur.

Notez la clé Amazon Resource Name (ARN) ; vous en aurez besoinÉtape 2 : créer un AWS Secrets Manager secret.

Contexte de chiffrement

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.

Secrets Manager inclut un contexte de chiffrement lors du chiffrement et du déchiffrement du. SecretString Le contexte de chiffrement inclut le secretARN, ce qui limite le chiffrement à ce secret spécifique. Comme mesure de sécurité supplémentaire, MediaTailor crée une AWS KMS subvention en votre nom. MediaTailor applique une GrantConstraintsopération qui nous permet uniquement de déchiffrer le secret SecretString associé au secret ARN contenu dans le contexte de chiffrement de Secrets Manager.

Pour plus d'informations sur la manière dont Secrets Manager utilise le contexte de chiffrement, consultez la rubrique Contexte de chiffrement du Guide du AWS Key Management Service développeur.

Définition de la politique clé

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez utiliser la politique de clé par défaut. Pour plus d'informations, consultez la section Authentification et contrôle d'accès AWS KMS dans le guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec vos ressources de localisation MediaTailor source, vous devez autoriser le IAM principal qui appelle CreateSourceLocationou UpdateSourceLocationà effectuer les API opérations suivantes :

  • kms:CreateGrant : ajoute une attribution à une clé gérée par le client. MediaTailor crée une autorisation sur votre clé gérée par le client qui lui permet d'utiliser la clé pour créer ou mettre à jour un emplacement source configuré avec l'authentification par jeton d'accès. Pour plus d'informations sur l'utilisation de Grants dans AWS KMS, consultez le guide du AWS Key Management Service développeur.

    Cela permet MediaTailor d'effectuer les opérations suivantes :

    • Appelez Decrypt pour qu'il puisse récupérer avec succès le secret de votre Gestionnaire de Secrets Manager lors de l'appel GetSecretValue.

    • Appelez RetireGrant pour annuler l'autorisation lorsque l'emplacement source est supprimé ou lorsque l'accès au secret a été révoqué.

Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Pour plus d'informations sur la définition des autorisations dans une politique et la résolution des problèmes d'accès par clé, consultez la section Subventions AWS KMS dans le guide du AWS Key Management Service développeur.