Configuração AWS Secrets Manager autenticação de token de acesso - AWS Elemental MediaTailor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração AWS Secrets Manager autenticação de token de acesso

Quando você quiser usar AWS Secrets Manager autenticação de token de acesso, você executa as seguintes etapas:

  1. Você cria um AWS Key Management Service chave gerenciada pelo cliente.

  2. Você cria um AWS Secrets Manager segredo. O segredo contém seu token de acesso, que é armazenado no Secrets Manager como um valor secreto criptografado. MediaTailor usa o AWS KMS chave gerenciada pelo cliente para decifrar o valor secreto.

  3. Você configura um AWS Elemental MediaTailor local de origem para usar a autenticação do token de acesso do Secrets Manager.

A seção a seguir fornece step-by-step orientação sobre como configurar AWS Secrets Manager autenticação por token de acesso.

Etapa 1: criar um AWS KMS chave simétrica gerenciada pelo cliente

Você usa AWS Secrets Manager para armazenar seu token de acesso na forma de um token SecretString armazenado em segredo. O SecretString é criptografado por meio do uso de um AWS KMS chave simétrica gerenciada pelo cliente que você cria, possui e gerencia. MediaTailor usa a chave simétrica gerenciada pelo cliente para facilitar o acesso ao segredo com uma concessão e para criptografar e descriptografar o valor secreto.

As chaves gerenciadas pelo cliente permitem que você execute tarefas como as seguintes:

  • Estabelecer e manter as políticas de chave

  • Estabelecendo e mantendo IAM políticas e subsídios

  • Habilitar e desabilitar políticas de chaves

  • Material de chave criptográfica rotativa

  • Adicionar etiquetas

    Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico Como AWS Secrets Manager uses AWS KMS no AWS Key Management Service Guia do desenvolvedor.

    Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente na AWS Key Management Service Guia do desenvolvedor.

nota

AWS KMS cobranças se aplicam ao uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte a página de preços do serviço de gerenciamento de AWS chaves.

Você pode criar um AWS KMS chave simétrica gerenciada pelo cliente usando o AWS Management Console ou programaticamente com o AWS KMS APIs.

Para criar uma chave simétrica gerenciada pelo cliente

Siga as etapas para criar uma chave simétrica gerenciada pelo cliente no AWS Key Management Service Guia do desenvolvedor.

Anote a chave Amazon Resource Name (ARN); você precisará delaEtapa 2: criar um AWS Secrets Manager secret.

Contexto de criptografia

Um contexto de criptografia é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.

O Secrets Manager inclui um contexto de criptografia ao criptografar e descriptografar o. SecretString O contexto de criptografia inclui o segredoARN, o que limita a criptografia a esse segredo específico. Como medida adicional de segurança, MediaTailor cria um AWS KMS conceda em seu nome. MediaTailor aplica uma GrantConstraintsoperação que só nos permite descriptografar o SecretString associado ao segredo ARN contido no contexto de criptografia do Secrets Manager.

Para obter informações sobre como o Secrets Manager usa o contexto de criptografia, consulte o tópico Contexto de criptografia no AWS Key Management Service Guia do desenvolvedor.

Definindo a política principal

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar sua chave gerenciada pelo cliente, você pode usar a política de chaves padrão. Para obter mais informações, consulte Autenticação e controle de acesso para AWS KMSno AWS Key Management Service Guia do desenvolvedor.

Para usar sua chave gerenciada pelo cliente com seus recursos de localização de MediaTailor origem, você deve dar permissão ao IAM diretor que liga CreateSourceLocationou UpdateSourceLocationusar as seguintes API operações:

  • kms:CreateGrant: Adiciona uma concessão a uma chave gerenciada pelo cliente. MediaTailor cria uma concessão em sua chave gerenciada pelo cliente que permite que ela use a chave para criar ou atualizar um local de origem configurado com autenticação de token de acesso. Para obter mais informações sobre como usar o Grants em AWS KMS, veja o AWS Key Management Service Guia do desenvolvedor.

    Isso permite MediaTailor fazer o seguinte:

    • Ligue Decrypt para que ele possa recuperar com sucesso seu segredo do Secrets Manager ao ligar GetSecretValue.

    • Ligue RetireGrant para retirar a concessão quando o local de origem for excluído ou quando o acesso ao segredo for revogado.

Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:

{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }

Para obter mais informações sobre como especificar permissões em uma política e solucionar problemas de acesso por chave, consulte Concessões em AWS KMSno AWS Key Management Service Guia do desenvolvedor.

Etapa 2: criar um AWS Secrets Manager secret

Use o Secrets Manager para armazenar seu token de acesso na forma de um SecretString que é criptografado por um AWS KMS chave gerenciada pelo cliente. MediaTailorusa a chave para descriptografar o. SecretString Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico Como AWS Secrets Manager uses AWS KMS no AWS Key Management Service Guia do desenvolvedor.

Se você usa AWS Elemental MediaPackage como origem do local de origem e gostaria de usar a autenticação por token de acesso do MediaTailor Secrets Manager, siga o procedimentoIntegração com MediaPackage endpoints que usam autorização CDN.

Você pode criar um segredo do Secrets Manager usando o AWS Management Console ou programaticamente com o Secrets Manager. APIs

Para criar um segredo

Siga as etapas para Criar e gerenciar segredos com AWS Secrets Manager no AWS Secrets Manager Guia do usuário.

Lembre-se das seguintes considerações ao criar seu segredo:

  • KmsKeyIdDeve ser a chave ARN da chave gerenciada pelo cliente que você criou na Etapa 1.

  • Você deve fornecer um SecretString. SecretStringDeve ser um JSON objeto válido que inclua uma chave e um valor contendo o token de acesso. Por exemplo, {” MyAccessTokenIdentifier “:"112233445566"}. O valor deve ter entre 8 e 128 caracteres.

    Ao configurar seu local de origem com a autenticação do token de acesso, você especifica a SecretString chave. MediaTailor usa a chave para pesquisar e recuperar o token de acesso armazenado noSecretString.

    Anote o segredo ARN e a SecretString chave. Você os usará ao configurar seu local de origem para usar a autenticação por token de acesso.

Anexando uma política secreta baseada em recursos

Para permitir o MediaTailor acesso ao valor secreto, você deve anexar uma política baseada em recursos ao segredo. Para obter mais informações, consulte Anexar uma política de permissões a um AWS Secrets Manager Segredo no AWS Secrets Manager Guia do usuário.

Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "<secret ARN" } ] }

Etapa 3: Configurar um local MediaTailor de origem com autenticação de token de acesso

Você pode configurar a autenticação do token de acesso do Secrets Manager usando o AWS Management Console ou programaticamente com o. MediaTailor APIs

Para configurar um local de origem com a autenticação de token de acesso do Secrets Manager

Siga as Access configuration etapas do AWS Elemental MediaTailor Guia do usuário.