As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Trabalhando com o SigV4 para o Amazon S3
O Signature Version 4 (SigV4) para Amazon S3 é um protocolo de assinatura usado para autenticar solicitações para o Amazon S3. HTTPS Quando você usa o SigV4 para o Amazon S3 MediaTailor , inclui um cabeçalho de autorização assinado na solicitação para HTTPS o bucket do Amazon S3 usado como sua origem. Se o cabeçalho de autorização assinado for válido, sua origem atenderá à solicitação. Se não for válido, a solicitação falhará.
Para obter informações gerais sobre o SigV4 for AWS Key Management Service, consulte o tópico Solicitações de autenticação (AWSassinatura versão 4) na referência do Amazon S3. API
nota
MediaTailor sempre assina solicitações para essas origens com o SigV4.
Requisitos
Se você ativar o SigV4 para autenticação do Amazon S3 em seu local de origem, deverá atender aos seguintes requisitos:
-
Você deve permitir MediaTailor o acesso ao seu bucket do Amazon S3 concedendo acesso principal a mediatailor.amazonaws.com em. IAM Para obter informações sobre como configurar o acesso emIAM, consulte Gerenciamento de acesso no Guia do AWS Identity and Access Management Usuário.
-
O responsável pelo serviço mediatailor.amazonaws.com deve ter permissões para ler todos os manifestos de nível superior referenciados pelas configurações do pacote de origem. VOD
-
O chamador do API deve ter GetObject IAM permissões s3: para ler todos os manifestos de nível superior referenciados pelas configurações do pacote de origem. MediaTailor VOD
-
Sua base MediaTailor de localização de origem URL deve seguir o formato de solicitação de estilo hospedado virtual do Amazon S3. URL Por exemplo, https://
bucket-name.s3.Region.amazonaws.com/key-name. Para obter informações sobre o acesso em estilo virtual hospedado no Amazon S3, consulte Solicitações de estilo hospedado virtual.
MediaTailor Solicitações de origem de assinatura SigV4
Você pode usar a assinatura SigV4 para solicitações feitas por MediaTailor AWS origens válidas, incluindo Amazon S3, Channel Assembly e V2. MediaPackage Isso permite que as origens saibam pelas quais solicitações estão sendo feitas MediaTailor, e você pode limitar o acesso somente às MediaTailor solicitações. Se você não limitar o acesso apenas às MediaTailor solicitações, outros MediaTailor clientes poderão acessar sua origem por meio de sua própria configuração de MediaTailor reprodução.
As origens para as quais assinaremos solicitações são AWS Key Management Service Channel Assembly e MediaPackage V2. A origem URLs deve ter a seguinte aparência:,
mediapackagev2.<region>.amazonaws.com
channel-assembly.mediatailor.<region>.amazonaws.com
s3.<region>.amazonaws.com
Importante
Use https para assinar solicitações para a OriginURLs. Se seu Origin não estiver configurado para usoHTTPS, não MediaTailor assinará solicitações de origem com o SigV4.
Exemplo de IAM políticas de origens para limitar o acesso a MediaTailor
As IAM políticas a seguir mostram exemplos de como limitar o acesso MediaTailor a.
Amazon S3
Escopo da conta:
{ "Effect": "Allow", "Principal": {"Service": "mediatailor.amazonaws.com"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": {"AWS:SourceAccount": "123456789012"} } }
Com o escopo da configuração de reproduçãoARN:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mybucket/*", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
MediaPackage V2
Escopo da conta:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
Com o escopo da configuração de reproduçãoARN:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediapackagev2:GetObject", "Resource": "arn:aws:mediapackagev2:us-west-2:123456789012:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
Montagem do canal
Escopo da conta:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceAccount": "123456789012" } } }
Com o escopo da configuração de reproduçãoARN:
{ "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": “mediatailor:GetManifest", "Resource": "arn:aws:mediatailor:us-west-2:123456789012:channel/ca-origin-channel", "Condition": { "StringEquals": { "AWS:SourceArn”: “arn:aws:mediatailor:us-west-2:123456789012:playbackConfiguration/test” } } }
