구성 AWS Secrets Manager 액세스 토큰 인증 - AWS Elemental MediaTailor
1단계: 생성 AWS KMS 대칭형 고객 관리 키2단계: 만들기 AWS Secrets Manager secret3단계: 액세스 토큰 인증을 사용하여 MediaTailor 원본 위치 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

구성 AWS Secrets Manager 액세스 토큰 인증

사용하고 싶은 경우 AWS Secrets Manager 액세스 토큰 인증을 수행하려면 다음 단계를 수행합니다.

  1. 다음을 생성합니다. AWS Key Management Service 고객 관리 키.

  2. 직접 생성합니다. AWS Secrets Manager 비밀. 암호에는 액세스 토큰이 포함되며, 이 액세스 토큰은 Secrets Manager에 암호화된 암호 값으로 저장됩니다. MediaTailor 는 를 사용합니다. AWS KMS 고객 관리 키를 사용하여 비밀 값을 해독합니다.

  3. 다음을 구성합니다. AWS Elemental MediaTailor Secrets Manager 액세스 토큰 인증을 사용하기 위한 소스 위치입니다.

다음 섹션에서는 구성 방법에 대한 step-by-step 지침을 제공합니다. AWS Secrets Manager 액세스 토큰 인증.

1단계: 생성 AWS KMS 대칭형 고객 관리 키

당신은 다음을 사용합니다. AWS Secrets Manager 액세스 토큰을 비밀에 SecretString 저장된 형태로 저장할 수 있습니다. 를 사용하여 SecretString 암호화됩니다. AWS KMS 직접 만들고, 소유하고, 관리하는 대칭형 고객 관리 키. MediaTailor 대칭형 고객 관리 키를 사용하여 권한 부여를 통해 비밀에 쉽게 액세스할 수 있도록 하고 비밀 값을 암호화 및 복호화합니다.

고객 관리 키를 사용하면 다음과 같은 작업을 수행할 수 있습니다.

  • 키 정책 수립 및 유지

  • IAM정책 및 보조금 수립 및 유지

  • 키 정책 활성화 및 비활성화

  • 회전식 암호화 키 자료

  • 태그 추가

    Secrets Manager를 사용하는 방법에 대한 자세한 내용은 AWS KMS 비밀을 보호하려면 방법 항목을 참조하십시오. AWS Secrets Manager uses AWS KMSAWS Key Management Service 개발자 가이드.

    고객 관리 키에 대한 자세한 내용은 의 고객 관리 키를 참조하십시오. AWS Key Management Service 개발자 가이드.

참고

AWS KMS 고객 관리 키 사용 시 요금이 부과됩니다. 요금에 대한 자세한 내용은 AWS키 관리 서비스 요금 페이지를 참조하십시오.

다음을 생성할 수 있습니다. AWS KMS 를 사용하여 대칭 고객 관리 키를 사용합니다. AWS Management Console 또는 다음을 사용하여 프로그래밍 방식으로 AWS KMS APIs.

대칭 고객 관리형 키를 생성하려면

에서 대칭 고객 관리 키 만들기 단계를 따르세요. AWS Key Management Service 개발자 가이드.

Amazon 리소스 이름 (ARN) 키를 메모해 두십시오. 필요할 것입니다2단계: 만들기 AWS Secrets Manager secret.

암호화 컨텍스트

암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.

Secrets Manager는 암호화 및 복호화 시 암호화 컨텍스트를 포함합니다. SecretString 암호화 컨텍스트에는 암호화를 특정 ARN 암호로 제한하는 암호가 포함됩니다. 추가 보안 조치로 다음을 MediaTailor 생성합니다. AWS KMS 사용자를 대신하여 지원하세요. MediaTailor Secrets Manager 암호화 컨텍스트에 ARN 포함된 암호와 SecretString 관련된 암호만 해독할 수 있는 GrantConstraints작업을 적용합니다.

Secrets Manager가 암호화 컨텍스트를 사용하는 방법에 대한 자세한 내용은 의 암호화 컨텍스트 항목을 참조하십시오. AWS Key Management Service 개발자 가이드.

키 정책 설정

키 정책은 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리 키를 생성할 때 기본 키 정책을 사용할 수 있습니다. 자세한 내용은 인증 및 액세스 제어를 참조하십시오. AWS KMS에서 AWS Key Management Service 개발자 가이드.

MediaTailor 소스 위치 리소스와 함께 고객 관리 키를 사용하려면 전화를 거는 IAM 주체에게 권한을 CreateSourceLocation부여하거나 UpdateSourceLocation다음 API 작업을 사용할 수 있는 권한을 부여해야 합니다.

  • kms:CreateGrant - 고객 관리형 키에 권한 부여를 추가합니다. MediaTailor 고객 관리 키에 권한을 생성하여 키를 사용하여 액세스 토큰 인증으로 구성된 소스 위치를 만들거나 업데이트할 수 있도록 합니다. Grants 사용에 대한 자세한 내용은 다음을 참조하십시오. AWS KMS, 다음을 참조하십시오. AWS Key Management Service 개발자 안내서.

    MediaTailor 이를 통해 다음과 같은 작업을 수행할 수 있습니다.

    • 전화를 걸 때 Secrets Manager 암호를 성공적으로 검색할 수 Decrypt 있도록 호출하십시오 GetSecretValue.

    • 소스 위치가 삭제되거나 비밀번호에 대한 액세스가 취소된 경우 권한 부여를 RetireGrant 취소하려면 호출하세요.

다음은 추가할 수 있는 정책 설명 예시입니다. MediaTailor 

{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}

정책에서 권한을 지정하고 키 액세스 문제를 해결하는 방법에 대한 자세한 내용은 Grants in을 참조하십시오. AWS KMS... 에서 AWS Key Management Service 개발자 가이드.

2단계: 만들기 AWS Secrets Manager secret

Secrets Manager를 사용하여 액세스 토큰을 암호화된 형태로 저장하십시오. SecretString AWS KMS 고객 관리 키. MediaTailor키를 사용하여 암호를 해독합니다. SecretString Secrets Manager를 사용하는 방법에 대한 자세한 내용은 AWS KMS 비밀을 보호하려면 방법 항목을 참조하십시오. AWS Secrets Manager uses AWS KMSAWS Key Management Service 개발자 가이드.

를 사용하는 경우 AWS Elemental MediaPackage 소스 위치 오리진으로 MediaTailor Secrets Manager 액세스 토큰 인증을 사용하려면 다음 절차를 따르십시오인증을 사용하는 MediaPackage 엔드포인트와 통합 CDN.

다음을 사용하여 Secrets Manager 시크릿을 생성할 수 있습니다. AWS Management Console 또는 Secrets APIs Manager를 사용하여 프로그래밍 방식으로 수행할 수도 있습니다.

보안 암호 생성

다음을 사용하여 시크릿 생성 및 관리 단계를 따르세요. AWS 시크릿 매니저 인 더 AWS Secrets Manager 사용자 가이드.

시크릿을 만들 때는 다음 고려 사항을 염두에 두십시오.

  • 1단계에서 생성한 고객 관리 키의 KmsKeyId키여야 합니다. ARN

  • a를 입력해야 SecretString합니다. 액세스 토큰이 포함된 키와 값이 포함된 유효한 SecretString JSON 객체여야 합니다. 예: {” MyAccessTokenIdentifier “:"112233445566"}. 값은 8~128자 길이여야 합니다.

    액세스 토큰 인증을 사용하여 소스 위치를 구성할 때는 SecretString 키를 지정합니다. MediaTailor 키를 사용하여 에 저장된 액세스 토큰을 조회하고 검색합니다SecretString.

    ARN비밀과 SecretString 키를 기록해 둡니다. 액세스 토큰 인증을 사용하도록 소스 위치를 구성할 때 이 정보를 사용하게 됩니다.

리소스 기반 비밀 정책 연결

보안 값에 MediaTailor 액세스할 수 있게 하려면 리소스 기반 정책을 암호에 연결해야 합니다. 자세한 내용은 권한 정책 연결을 참조하십시오. AWS 시크릿 매니저 시크릿 인 더 AWS Secrets Manager 사용자 가이드.

다음은 추가할 수 있는 정책 설명 예제입니다 MediaTailor.

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "<secret ARN" 
        } 
    ] 

}

3단계: 액세스 토큰 인증을 사용하여 MediaTailor 원본 위치 구성

다음을 사용하여 Secrets Manager 액세스 토큰 인증을 구성할 수 있습니다. AWS Management Console 또는 를 MediaTailor APIs 사용하여 프로그래밍 방식으로.

Secrets Manager 액세스 토큰 인증을 사용하여 소스 위치를 구성하려면

Access configuration의 단계를 따르십시오. AWS Elemental MediaTailor 사용자 가이드.