Autenticação - Especificação da API do Secure Packager and Encoder Key Exchange
Autenticação para implementações na Nuvem AWSAutenticação para produtos on-premises

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação

O SPEKE requer autenticação para produtos on-premises e para serviços e recursos executados na Nuvem AWS.

Autenticação para implementações na Nuvem AWS

O SPEKE requer a autenticação da AWS por meio de funções do IAM para uso com um criptografador. As funções do IAM são criadas pelo provedor de DRM ou pelo operador proprietário do endpoint de DRM em uma conta da AWS. Cada função é atribuída um nome de recurso da Amazon (ARN), que o operador de serviço do AWS Elemental fornece no console do serviço ao solicitar a criptografia. As permissões de política da função devem estar configuradas para dar permissão de acesso à API do provedor de chaves e nenhum outro acesso a recursos da AWS. Quando o criptografador entra em contato com o provedor de chaves de DRM, ele usa o ARN da função para assumir a função do provedor de chaves da conta, que retorna credenciais temporárias para o criptografador usar e acessar o provedor de chaves.

Uma implementação comum é para o operador ou a plataforma de DRM usar o Amazon API Gateway na frente do provedor de chaves e, então, habilitar a autorização do AWS Identity and Access Management (AWS IAM) no recurso do API Gateway. Você pode usar o seguinte exemplo de definição de política e anexá-lo a uma nova função para conceder as permissões adequadas ao recurso. Neste caso, as permissões são para todos os recursos do API Gateway.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-west-2:*:*/*/GET/*"
            ]
        }
    ]
}

Por fim, a função requer a adição de uma relação de confiança, e o operador deve ser capaz de selecionar o serviço.

O exemplo a seguir mostra um ARN de função criado para acessar o provedor de chaves de DRM:

arn:aws:iam::2949266363526:role/DRMKeyServer

Para obter mais informações sobre a criação de uma função, consulte AWS AssumeRole. Para obter mais informações sobre a assinatura de uma solicitação, consulte AWS Sigv4.

Autenticação para produtos on-premises

Para produtos on-premises, recomendamos usar autenticação SSL/TLS e Digest para obter a melhor segurança, mas, no mínimo, você deve usar a autenticação básica por HTTPS.

Os dois tipos de autenticação usam o cabeçalho Authorization na solicitação HTTP:

  • Autenticação Digest – O cabeçalho de autorização consiste no identificador Digest seguido por uma série de valores que autenticam a solicitação. Especificamente, um valor de resposta é gerado por meio de uma série de funções de hash MD5 que incluem um one-time-use nonce exclusivo do servidor que é usado para garantir que a senha seja transmitida com segurança.

  • Autenticação Basic – O cabeçalho de autorização consiste no identificador Basic seguido por uma string codificada no formato base-64 que representa o nome de usuário e a senha, separados por dois-pontos.

Para obter informações sobre a autenticação Basic e Digest, incluindo informações detalhadas sobre o cabeçalho, consulte a especificação de Internet Engineering Task Force (IETF) RFC 2617 - Autenticação HTTP: Autenticação de acesso Basic e Digest.