翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 向けの SigV4 の使用
Amazon S3 の署名バージョン 4 (SigV4) は、 経由で Amazon S3 へのリクエストを認証するために使用される署名プロトコルですHTTPS。 Amazon S3 Amazon S3 に SigV4 を使用する場合、 はオリジンとして使用される Amazon S3 バケットへのHTTPSリクエストに署名付き認証ヘッダー MediaTailor を含めます。 Amazon S3 署名付きの認証ヘッダーが有効である場合は、オリジンがリクエストに対応します。有効でない場合は、リクエストが失敗します。
の SigV4 に関する一般的な情報については AWS Key Management Service、Amazon S3 APIリファレンスの「リクエストの認証 (AWS 署名バージョン 4)」トピックを参照してください。
注記
MediaTailor は常に SigV4 を使用してこれらのオリジンへのリクエストに署名します。
要件
ソースロケーションのために Amazon S3 認証用の SigV4 をアクティブ化する場合は、以下の要件を満たす必要があります。
-
MediaTailor で mediatailor.amazonaws.com プリンシパルアクセスを許可することで、 が Amazon S3 バケットにアクセスできるようにする必要がありますIAM。でアクセスを設定する方法についてはIAM、「 ユーザーガイド」の「アクセス管理AWS Identity and Access Management 」を参照してください。
-
mediatailor.amazonaws.com サービスプリンシパルには、VODソースパッケージ設定によって参照されるすべての最上位マニフェストを読み取るアクセス許可が必要です。
-
の呼び出し元には、ソースパッケージ設定によって MediaTailor VOD参照されるすべての最上位マニフェストを読み取るための s3:GetObject アクセスIAM許可APIが必要です。
-
MediaTailor ソースロケーションベースURLは、Amazon S3 仮想ホスト形式のリクエストURL形式に従う必要があります。例えば、https://
bucket-name.s3。Region.amazonaws.com/key-name。 Amazon S3 でホストされる仮想形式のアクセスの詳細については、「仮想ホスト形式のリクエスト」を参照してください。
MediaTailor SigV4 署名オリジンリクエスト
SigV4 署名は、Amazon S3、Channel Assembly、 MediaPackage V2 などの有効な AWS オリジン MediaTailor に対して によって行われたリクエストに使用できます。これにより、オリジンは によってリクエストが行われていることを認識でき MediaTailor、アクセスは MediaTailor リクエストのみに制限できます。アクセスを MediaTailor リクエストのみに制限しない場合、他の MediaTailor お客様は独自の MediaTailor 再生設定を通じてオリジンにアクセスできます。
リクエストに署名するオリジンは AWS Key Management Service、、チャネルアセンブリ、および MediaPackage V2 です。オリジンURLsは次のようになります。
mediapackagev2.<region>.amazonaws.com
channel-assembly.mediatailor.<region>.amazonaws.com
s3.<region>.amazonaws.com
重要
https を使用して、オリジン へのリクエストに署名しますURLs。オリジンが を使用するように設定されていない場合HTTPS、 MediaTailor は SigV4 でオリジンリクエストに署名しません。
へのアクセスを制限するオリジンのIAMポリシーの例 MediaTailor
次のIAMポリシーは、 へのアクセスを制限する方法の例を示しています MediaTailor。
Amazon S3
アカウントの範囲:
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": {"AWS:SourceAccount": "123456789012"} } }
再生設定の範囲ARN:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
MediaPackage V2
アカウントの範囲:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
再生設定の範囲ARN:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
チャネルアセンブリ
アカウントの範囲:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
再生設定の範囲ARN:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
