As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando a autenticação do token de AWS Secrets Manager acesso
Quando quiser usar a autenticação por token de AWS Secrets Manager acesso, execute as seguintes etapas:
-
Você cria uma chave gerenciada pelo AWS Key Management Service cliente.
-
Você cria um AWS Secrets Manager segredo. O segredo contém seu token de acesso, que é armazenado no Secrets Manager como um valor secreto criptografado. MediaTailor usa a chave gerenciada pelo AWS KMS cliente para descriptografar o valor secreto.
-
Você configura um local AWS Elemental MediaTailor de origem para usar a autenticação do token de acesso do Secrets Manager.
A seção a seguir fornece step-by-step orientação sobre como configurar a autenticação por token de AWS Secrets Manager acesso.
Tópicos
Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente
Você usa AWS Secrets Manager para armazenar seu token de acesso na forma de um segredo SecretString armazenado. O SecretString é criptografado por meio do uso de uma chave AWS KMS simétrica gerenciada pelo cliente que você cria, possui e gerencia. MediaTailor usa a chave simétrica gerenciada pelo cliente para facilitar o acesso ao segredo com uma concessão e para criptografar e descriptografar o valor secreto.
As chaves gerenciadas pelo cliente permitem que você execute tarefas como as seguintes:
-
Estabelecer e manter as políticas de chave
-
Estabelecendo e mantendo IAM políticas e subsídios
-
Habilitar e desabilitar políticas de chaves
-
Material de chave criptográfica rotativa
-
Adicionar etiquetas
Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico Como AWS Secrets Manager usar AWS KMS no Guia do AWS Key Management Service Desenvolvedor.
Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .
nota
AWS KMS cobranças se aplicam ao uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte a página de preços do serviço de gerenciamento de AWS chaves
Você pode criar uma chave AWS KMS simétrica gerenciada pelo cliente usando o AWS Management Console ou programaticamente com o. AWS KMS APIs
Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para criar uma chave simétrica gerenciada pelo cliente no Guia do AWS Key Management Service desenvolvedor.
Anote a chave Amazon Resource Name (ARN); você precisará delaEtapa 2: criar um AWS Secrets Manager segredo.
Contexto de criptografia
Um contexto de criptografia é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.
O Secrets Manager inclui um contexto de criptografia ao criptografar e descriptografar o. SecretString O contexto de criptografia inclui o segredoARN, o que limita a criptografia a esse segredo específico. Como medida adicional de segurança, MediaTailor cria uma AWS KMS concessão em seu nome. MediaTailor aplica uma GrantConstraintsoperação que só nos permite descriptografar o SecretString associado ao segredo ARN contido no contexto de criptografia do Secrets Manager.
Para obter informações sobre como o Secrets Manager usa o contexto de criptografia, consulte o tópico Contexto de criptografia no Guia do AWS Key Management Service desenvolvedor.
Definindo a política principal
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar sua chave gerenciada pelo cliente, você pode usar a política de chaves padrão. Para obter mais informações, consulte Autenticação e controle de acesso AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Para usar sua chave gerenciada pelo cliente com seus recursos de localização de MediaTailor origem, você deve dar permissão ao IAM diretor que liga CreateSourceLocationou UpdateSourceLocationusar as seguintes API operações:
-
kms:CreateGrant: Adiciona uma concessão a uma chave gerenciada pelo cliente. MediaTailor cria uma concessão em sua chave gerenciada pelo cliente que permite que ela use a chave para criar ou atualizar um local de origem configurado com autenticação de token de acesso. Para obter mais informações sobre como usar o Grants in AWS KMS, consulte o Guia do AWS Key Management Service desenvolvedor.Isso permite MediaTailor fazer o seguinte:
-
Ligue
Decryptpara que ele possa recuperar com sucesso seu segredo do Secrets Manager ao ligar GetSecretValue. -
Ligue
RetireGrantpara retirar a concessão quando o local de origem for excluído ou quando o acesso ao segredo for revogado.
-
Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:
{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }
Para obter mais informações sobre como especificar permissões em uma política e solucionar problemas de acesso por chave, consulte Concessões AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Etapa 2: criar um AWS Secrets Manager segredo
Use o Secrets Manager para armazenar seu token de acesso na forma de um SecretString que é criptografado por uma chave gerenciada pelo AWS KMS cliente. MediaTailorusa a chave para descriptografar o. SecretString Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico Como AWS Secrets Manager usar AWS KMS no Guia do AWS Key Management Service Desenvolvedor.
Se você usa AWS Elemental MediaPackage como origem do local de origem e gostaria de usar a autenticação por token de acesso do MediaTailor Secrets Manager, siga o procedimentoIntegração com MediaPackage endpoints que usam autorização CDN.
Você pode criar um segredo do Secrets Manager usando o AWS Management Console ou programaticamente com o Secrets Manager. APIs
Para criar um segredo
Siga as etapas para Criar e gerenciar AWS segredos com o Secrets Manager no Guia AWS Secrets Manager do usuário.
Lembre-se das seguintes considerações ao criar seu segredo:
-
KmsKeyIdDeve ser a chave ARN da chave gerenciada pelo cliente que você criou na Etapa 1.
-
Você deve fornecer um SecretString.
SecretStringDeve ser um JSON objeto válido que inclua uma chave e um valor contendo o token de acesso. Por exemplo, {” MyAccessTokenIdentifier “:"112233445566"}. O valor deve ter entre 8 e 128 caracteres.Ao configurar seu local de origem com a autenticação do token de acesso, você especifica a
SecretStringchave. MediaTailor usa a chave para pesquisar e recuperar o token de acesso armazenado noSecretString.Anote o segredo ARN e a
SecretStringchave. Você os usará ao configurar seu local de origem para usar a autenticação por token de acesso.
Anexando uma política secreta baseada em recursos
Para permitir o MediaTailor acesso ao valor secreto, você deve anexar uma política baseada em recursos ao segredo. Para obter mais informações, consulte Anexar uma política de permissões a um segredo do AWS Secrets Manager no Guia AWS Secrets Manager do Usuário.
Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<secret ARN" } ] }
Etapa 3: configurar um local de MediaTailor origem com autenticação de token de acesso
Você pode configurar a autenticação do token de acesso do Secrets Manager usando o AWS Management Console ou programaticamente com o. MediaTailor APIs
Para configurar um local de origem com a autenticação de token de acesso do Secrets Manager
Siga as etapas Access configuration do Guia do AWS Elemental MediaTailor usuário.
