Authentification - Spécification d'API Secure Packager and Encoder Key Exchange

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification

SPEKE nécessite une authentification pour les produits sur site, ainsi que pour les services et les fonctions qui s'exécutent dans le cloud AWS.

Authentification pour les implémentations dans le cloud AWS

SPEKE nécessite une authentification AWS via des rôles IAM en vue d'une utilisation avec un chiffreur. Les rôles IAM sont créés par le fournisseur DRM ou par l'opérateur qui possède le point de terminaison DRM dans un compte AWS. Chaque rôle se voit attribuer un Amazon Resource Name (ARN), que l'opérateur de service AWS Elemental fournit sur la console de service lorsque vous demandez le chiffrement. Les autorisations de stratégie du rôle doivent être configurées pour accorder l'autorisation d'accéder à l'API du fournisseur de clés, mais à aucune autre ressource AWS. Lorsque le chiffreur contacte le fournisseur de clés DRM, il utilise l'ARN de rôle pour assumer le rôle du titulaire du compte du fournisseur de clés, qui renvoie des informations d'identification temporaires que le chiffreur utilisera pour accéder au fournisseur de clés.

Généralement, l'opérateur ou le fournisseur de la plateforme DRM utilise Amazon API Gateway devant le fournisseur de clés, puis active l'autorisation AWS Identity and Access Management (AWS IAM) sur la ressource API Gateway. Vous pouvez utiliser l'exemple de définition de stratégie suivant et l'attacher à un nouveau rôle pour accorder des autorisations à la ressource appropriée. Dans ce cas, les autorisations concernent toutes les ressources API Gateway :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-west-2:*:*/*/GET/*" ] } ] }

Enfin, le rôle nécessite l'ajout d'une relation d'approbation et l'opérateur doit être en mesure de sélectionner le service.

L'exemple suivant illustre un ARN de rôle qui est créé pour accéder au fournisseur de clés DRM :

arn:aws:iam::2949266363526:role/DRMKeyServer

Pour plus d'informations sur la création d'un rôle, consultez AWS AssumeRole. Pour plus d'informations sur la signature d'une demande, consultez AWS Sigv4.

Authentification pour les produits sur site

Pour les produits sur site, nous vous recommandons d'utiliser SSL/TLS et l'authentification de la valeur de hachage afin d'atteindre une sécurité optimale. Mais au minimum, vous devez utiliser l'authentification de base sur HTTPS.

Les deux types d'authentification utilisent l'en-tête Authorization dans la requête HTTP :

  • Authentification résumée— L'en-tête d'autorisation est composé de l'identifiantDigestsuivi d'une série de valeurs qui authentifient la requête. Plus précisément, une valeur de réponse est générée par le biais d'une série de fonctions de hachage MD5 qui incluent une valeur de réponse unique, one-time-use nonce depuis le serveur utilisé pour garantir que le mot de passe se déplace en toute sécurité.

  • L'authentification de base— L'en-tête d'autorisation est composé de l'identifiantBasicsuivie d'une chaîne codée en Base64 qui représente le nom d'utilisateur et le mot de passe séparés par un signe deux-points.

Pour plus d'informations sur l'authentification de base et de la valeur de hachage, notamment des informations détaillées sur l'en-tête, consultez la spécification Internet Engineering Task Force (IETF).RFC 2617 - Authentification HTTP : Authentification des accès de base et de synthèse.