Etapa 1: Configurar um cabeçalho HTTP de origem personalizado da CDN Etapa 2: Armazenar o valor como um segredo no AWS Secrets Manager Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager Etapa 4: Habilitar a autorização de CDN em MediaPackage

Como configurar a autorização de CDN

Conclua as etapas a seguir para configurar a autorização da CDN.

Tópicos

Etapa 1: Configurar um cabeçalho HTTP de origem personalizado da CDN
Etapa 2: Armazenar o valor como um segredo no AWS Secrets Manager
Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager
Etapa 4: Habilitar a autorização de CDN em MediaPackage

Etapa 1: Configurar um cabeçalho HTTP de origem personalizado da CDN

Na CDN, configure um cabeçalho HTTP de origem personalizado que contenha o cabeçalho X-MediaPackage-CDNIdentifier e um valor. Para o valor, recomendamos que você use o formato UUID versão 4, que produz uma string de 36 caracteres. Se você não estiver usando o formato UUID versão 4, o valor deverá ter 8 a 128 caracteres.

Importante

O valor escolhido deve ser um valor estático. Não há integração nativa entre a CDN e o AWS Secrets Manager, portanto, o valor deve ser estático tanto na CDN quanto no AWS Secrets Manager. Se você alterar esse valor após configurar a CDN e o segredo, será necessário alternar o valor manualmente. Para ter mais informações, consulte Mudar o valor do cabeçalho da CDN.

Exemplo de cabeçalho e valor


X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660

Para criar um cabeçalho personalizado na Amazon CloudFront

Faça login no AWS Management Console e abra o CloudFront console emhttps://console.aws.amazon.com/cloudfront/v4/home.
Crie ou edite uma distribuição.
Em Origin Settings (Configurações de origem), preencha os campos. Você usará esse mesmo valor para seus segredos no Secrets Manager.
- Em Header Name (Nome do cabeçalho), insira X-MediaPackage-CDNIdentifier.
- Em Valor, insira um valor. Recomendamos que você use o formato UUID versão 4, que produz uma string de 36 caracteres. Se você não estiver usando o formato UUID versão 4, o valor deverá ter 8 a 128 caracteres.
Preencha o resto dos campos e salve a distribuição.

Para obter mais informações sobre cabeçalhos personalizados em CloudFront, consulte Encaminhando cabeçalhos de clientes para sua origem no Amazon CloudFront Developer Guide.

Etapa 2: Armazenar o valor como um segredo no AWS Secrets Manager

Armazene o mesmo valor usado no cabeçalho HTTP de origem personalizado como um segredo no AWS Secrets Manager. O segredo deve usar as mesmas configurações de região e conta da AWS que os recursos do AWS Elemental MediaPackage. O MediaPackage não oferece suporte ao compartilhamento de segredos entre contas ou regiões. No entanto, é possível usar o mesmo segredo em vários endpoints na mesma região e na mesma conta.

Para armazenar um segredo no Secrets Manager

Faça login no console do AWS Secrets Manager em https://console.aws.amazon.com/secretsmanager/.
Selecione Armazenar um novo segredo. Em Tipo de segredo, escolha Outro tipo de segredo.
Em Pares de chave/valor, insira as informações de chave e valor.
- Na caixa à esquerda, insira MediaPackageCDNIdentifier.
- Na caixa à direita, insira o valor que você configurou para o cabeçalho HTTP de origem personalizado. Por exemplo, 9ceebbe7-9607-4552-8764-876e47032660.
Para a chave de criptografia, você pode manter o valor padrão como DefaultEncryptionKey.
Escolha Próximo.
Em Nome do segredo, recomendamos usar MediaPackage/ como prefixo, para que você saiba que é um segredo usado para o MediaPackage. Por exemplo, MediaPackage/cdn_auth_us-west-2.
Escolha Próximo.
Em Configurar alternância automática, mantenha a configuração padrão Desativar a alternância automática.

Se for necessário alterar o código da autorização mais tarde, consulte Mudar o valor do cabeçalho da CDN.
Selecione Avançar e selecione Armazenar.

Isso leva você até a lista de segredos.
Selecione o nome do segredo para visualizar o ARN do segredo. O ARN tem um valor semelhante a arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx. Use o ARN do segredo ao configurar a autorização da CDN para o MediaPackage na Etapa 4: Habilitar a autorização da CDN no MediaPackage.

Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager

Crie uma política e uma função do IAM para dar acesso de MediaPackage leitura ao Secrets Manager. Quando o MediaPackage recebe uma solicitação de reprodução da CDN, ele verifica se o valor do segredo armazenado corresponde ao valor no cabeçalho HTTP personalizado. Siga as etapas em Como permitir que o AWS Elemental MediaPackage acesse outros serviços da AWS para configurar a política e a função.

Etapa 4: Habilitar a autorização de CDN em MediaPackage

Você pode habilitar a autorização de CDN para seus endpoints ou grupos de pacotes de vídeo sob demanda (VOD) com o MediaPackage console ou a APIAWS CLI. MediaPackage Você usa o ARN para a política e a função do IAM que você criou na Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager.

dica

Use o mesmo segredo em vários endpoints na mesma região e na mesma conta. Reduza os custos criando um segredo somente quando necessário para o fluxo de trabalho.

Para habilitar a autorização de CDN para conteúdo ao vivo pelo console

Abra o MediaPackage console em https://console.aws.amazon.com/mediapackage/.
Se ainda não tem um canal, crie-o. Para obter ajuda, consulte Criar um canal.
Crie ou edite um endpoint.
Em Configurações de controle de acesso, selecione Usar autorização de CDN. Preencha os campos:
- Em ARN do perfil do Secrets, insira o ARN do perfil do IAM que você criou em Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager.
- Em ARN secreto do identificador da CDN, insira o ARN para o segredo no Secrets Manager que sua CDN usa para autorização de acesso ao endpoint.
Preencha os campos restantes conforme necessário e salve o endpoint.

Para habilitar a autorização de CDN para conteúdo de VOD pelo console

Abra o MediaPackage console em https://console.aws.amazon.com/mediapackage/.
Se você ainda não tiver um grupo de empacotamento de VOD, crie um. Para obter ajuda, consulte Como criar um grupo de empacotamento.
Criar ou editar um grupo de empacotamento.
Em Configurar controle de acesso, selecione Habilitar autorização. Preencha os campos:
- Em ARN do perfil do Secrets, insira o ARN do perfil do IAM que você criou em Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager.
- Em ARN secreto do identificador da CDN, insira o ARN para o segredo no Secrets Manager que sua CDN usa para autorização de acesso ao endpoint.
Preencha os campos restantes conforme necessário e salve o grupo de empacotamento.

Você concluiu agora a configuração da autorização da CDN. As solicitações para esse endpoint deverão conter o mesmo código de autorização que você salvou no Secrets Manager.

Para habilitar a autorização de CDN com a API MediaPackage

Para obter informações sobre como habilitar a autorização de CDN com a MediaPackage API, consulte as seguintes referências de API:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Autorização de CDN

Mudar o valor do cabeçalho da CDN