Authentification - Spécification d'API Secure Packager and Encoder Key Exchange

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification

SPEKE nécessite une authentification pour les produits sur site ainsi que pour les services et fonctionnalités exécutés dans le cloud AWS.

Authentification pour les implémentations dans le cloud AWS

SPEKE nécessite une authentification AWS via des rôles IAM pour une utilisation avec un crypteur. Les rôles IAM sont créés par le fournisseur DRM ou par l'opérateur qui possède le point de terminaison DRM dans un compte AWS. Chaque rôle se voit attribuer un Amazon Resource Name (ARN), que l'opérateur de service AWS Elemental fournit sur la console de service lorsque vous demandez le chiffrement. Les autorisations de stratégie du rôle doivent être configurées pour accorder l'autorisation d'accéder à l'API du fournisseur de clés, mais à aucune autre ressource AWS. Lorsque le chiffreur contacte le fournisseur de clés DRM, il utilise l'ARN de rôle pour assumer le rôle du titulaire du compte du fournisseur de clés, qui renvoie des informations d'identification temporaires que le chiffreur utilisera pour accéder au fournisseur de clés.

Une implémentation courante consiste pour l'opérateur ou le fournisseur de la plateforme DRM à utiliser Amazon API Gateway devant le fournisseur clé, puis à activer l'autorisation AWS Identity and Access Management (AWS IAM) sur la ressource API Gateway. Vous pouvez utiliser l'exemple de définition de stratégie suivant et l'attacher à un nouveau rôle pour accorder des autorisations à la ressource appropriée. Dans ce cas, les autorisations concernent toutes les ressources API Gateway :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-west-2:*:*/*/GET/*" ] } ] }

Enfin, le rôle nécessite l'ajout d'une relation d'approbation et l'opérateur doit être en mesure de sélectionner le service.

L'exemple suivant illustre un ARN de rôle qui est créé pour accéder au fournisseur de clés DRM :

arn:aws:iam::2949266363526:role/DRMKeyServer

Pour plus d'informations sur la création d'un rôle, consultez AWS AssumeRole. Pour plus d'informations sur la signature d'une demande, consultez AWS Sigv4.

Authentification pour les produits sur site

Pour les produits sur site, nous vous recommandons d'utiliser SSL/TLS et l'authentification de la valeur de hachage afin d'atteindre une sécurité optimale. Mais au minimum, vous devez utiliser l'authentification de base sur HTTPS.

Les deux types d'authentification utilisent l'en-tête Authorization dans la requête HTTP :

  • Authentification Digest — L'en-tête d'autorisation se compose de l'identifiant Digest suivi d'une série de valeurs qui authentifient la demande. Plus précisément, une valeur de réponse est générée par une série de fonctions de hachage MD5 qui incluent une valeur de hachage unique provenant du one-time-use serveur qui est utilisée pour garantir que le mot de passe circule en toute sécurité.

  • Authentification de base — L'en-tête d'autorisation se compose de l'identifiant Basic suivi d'une chaîne codée en base 64 qui représente le nom d'utilisateur et le mot de passe, séparés par deux points.

Pour plus d'informations sur l'authentification de base et de la valeur de hachage, notamment des informations détaillées sur l'en-tête, consultez la spécification Internet Engineering Task Force (IETF) RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication.