Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de SigV4 pour Amazon S3
Signature Version 4 (Sigv4) pour Amazon S3 est un protocole de signature utilisé pour authentifier les demandes adressées à Amazon S3 via Amazon S3. HTTPS Lorsque vous utilisez SigV4 pour Amazon S3, MediaTailor inclut un en-tête d'autorisation signé dans la HTTPS demande adressée au compartiment Amazon S3 utilisé comme origine. Si l'en-tête d'autorisation signé est valide, votre origine répond à la demande. Si elle n'est pas valide, la demande échoue.
Pour obtenir des informations générales sur SigV4 pour AWS Key Management Service, consultez la rubrique Authentication Requests (AWSSignature Version 4) dans la référence Amazon S3 API.
Note
MediaTailor signe toujours les demandes adressées à ces origines avec SigV4.
Prérequis
Si vous activez SigV4 pour l'authentification Amazon S3 pour votre emplacement source, vous devez répondre aux exigences suivantes :
-
Vous devez autoriser MediaTailor l'accès à votre compartiment Amazon S3 en accordant à mediatailor.amazonaws.com un accès principal à. IAM Pour plus d'informations sur la configuration de l'accès dansIAM, consultez la section Gestion des accès dans le Guide de AWS Identity and Access Management l'utilisateur.
-
Le principal du service mediatailor.amazonaws.com doit être autorisé à lire tous les manifestes de haut niveau référencés par les configurations du package source. VOD
-
L'appelant API doit disposer des GetObject IAM autorisations s3 : pour lire tous les manifestes de haut niveau référencés par les configurations de votre package MediaTailor VOD source.
-
Votre base de localisation MediaTailor source URL doit suivre le format de demande de type hôte virtuel Amazon S3. URL Par exemple, https ://
bucket-name.s3.Region.amazonaws.com/key-name. Pour plus d'informations sur l'accès de type virtuel hébergé par Amazon S3, consultez la section Demandes de style virtuel hébergé.
MediaTailor Demandes d'origine de signature SigV4
Vous pouvez utiliser la signature Sigv4 pour les demandes effectuées par MediaTailor des AWS sources valides, notamment Amazon S3, Channel Assembly et MediaPackage V2. Cela permet aux origines de savoir par qui les demandes sont faites MediaTailor, et vous pouvez limiter l'accès aux seules MediaTailor demandes. Si vous ne limitez pas l'accès aux seules MediaTailor demandes, MediaTailor les autres clients pourront accéder à votre origine via leur propre configuration de MediaTailor lecture.
Les origines auxquelles nous signerons les demandes sont AWS Key Management Service Channel Assembly et MediaPackage V2. L'origine URLs doit ressembler à ce qui suit :,
mediapackagev2.<region>.amazonaws.com
channel-assembly.mediatailor.<region>.amazonaws.com
s3.<region>.amazonaws.com
Important
Utilisez le protocole https pour signer les demandes à l'origineURLs. Si votre Origin n'est pas configuré pour être utiliséHTTPS, il ne MediaTailor signera pas les demandes d'origine avec SigV4.
Exemples IAM de politiques relatives aux origines pour limiter l'accès à MediaTailor
Les IAM politiques suivantes présentent des exemples de la manière de limiter l'accès à MediaTailor.
Amazon S3
Délimité au compte :
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": {"AWS:SourceAccount": "123456789012"} } }
Limité à la configuration de lecture ARN :
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
MediaPackage V2
Délimité au compte :
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
Limité à la configuration de lecture ARN :
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
Assemblage du canal
Délimité au compte :
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
Limité à la configuration de lecture ARN :
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
