Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris - AWS Elemental MediaTailor
Untuk membuat kunci terkelola pelanggan simetrisKonteks enkripsiMenyetel kebijakan utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris

Anda gunakan AWS Secrets Manager untuk menyimpan token akses Anda dalam bentuk SecretString disimpan dalam rahasia. SecretStringIni dienkripsi melalui penggunaan kunci terkelola pelanggan AWS KMS simetris yang Anda buat, miliki, dan kelola. MediaTailor menggunakan kunci yang dikelola pelanggan simetris untuk memfasilitasi akses ke rahasia dengan hibah, dan untuk mengenkripsi dan mendekripsi nilai rahasia.

Kunci terkelola pelanggan memungkinkan Anda melakukan tugas-tugas seperti berikut:

  • Menetapkan dan memelihara kebijakan utama

  • Menetapkan dan memelihara IAM kebijakan dan hibah

  • Mengaktifkan dan menonaktifkan kebijakan utama

  • Memutar bahan kunci kriptografi

  • Menambahkan tanda

    Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik Cara AWS Secrets Manager penggunaan AWS KMS dalam Panduan AWS Key Management Service Pengembang.

    Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Kunci yang dikelola pelanggan di Panduan Developer AWS Key Management Service .

catatan

AWS KMS dikenakan biaya untuk menggunakan kunci yang dikelola pelanggan Untuk informasi selengkapnya tentang harga, lihat halaman Harga Layanan Manajemen AWS Kunci.

Anda dapat membuat kunci terkelola pelanggan AWS KMS simetris menggunakan AWS Management Console atau secara terprogram dengan. AWS KMS APIs

Untuk membuat kunci terkelola pelanggan simetris

Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service Pengembang.

Catat kunci Amazon Resource Name (ARN); Anda akan membutuhkannyaLangkah 2: Buat AWS Secrets Manager rahasia.

Konteks enkripsi

Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

Secrets Manager menyertakan konteks enkripsi saat mengenkripsi dan mendekripsi file. SecretString Konteks enkripsi mencakup rahasiaARN, yang membatasi enkripsi ke rahasia spesifik itu. Sebagai ukuran keamanan tambahan, MediaTailor buat AWS KMS hibah atas nama Anda. MediaTailor menerapkan GrantConstraintsoperasi yang hanya memungkinkan kita untuk mendekripsi yang SecretString terkait dengan rahasia yang ARN terkandung dalam konteks enkripsi Secrets Manager.

Untuk informasi tentang cara Secrets Manager menggunakan konteks enkripsi, lihat topik konteks Enkripsi di Panduan AWS Key Management Service Pengembang.

Menyetel kebijakan utama

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menggunakan kebijakan kunci default. Untuk informasi selengkapnya, lihat Otentikasi dan kontrol akses AWS KMS di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci yang dikelola pelanggan dengan MediaTailor sumber daya lokasi sumber Anda, Anda harus memberikan izin kepada IAM prinsipal yang memanggil CreateSourceLocationatau UpdateSourceLocationmenggunakan API operasi berikut:

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. MediaTailor membuat hibah pada kunci terkelola pelanggan Anda yang memungkinkannya menggunakan kunci untuk membuat atau memperbarui lokasi sumber yang dikonfigurasi dengan otentikasi token akses. Untuk informasi selengkapnya tentang penggunaan Hibah di AWS KMS, lihat Panduan AWS Key Management Service Pengembang.

    Hal ini memungkinkan MediaTailor untuk melakukan hal berikut:

    • Panggil Decrypt agar berhasil mengambil rahasia Secrets Manager Anda saat menelepon GetSecretValue.

    • Panggilan RetireGrant untuk menghentikan hibah ketika lokasi sumber dihapus, atau ketika akses ke rahasia telah dicabut.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan dan akses kunci pemecahan masalah, lihat Hibah di AWS KMS Panduan Pengembang.AWS Key Management Service