步驟 1:建立AWS KMS對稱的客戶管理金鑰 - AWS Elemental MediaTailor

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 1:建立AWS KMS對稱的客戶管理金鑰

您可AWS Secrets Manager以使用存儲在密鑰中的形式SecretString存儲訪問令牌。透過使用您建立、擁有和管理的AWS KMS對稱客戶管理金鑰來加密。SecretString MediaTailor 使用對稱的客戶管理金鑰來利用授權存取機密,並加密和解密密碼值。

客戶代管金鑰可讓您執行下列工作:

  • 建立和維護關鍵政策

  • 建立和維護 IAM 政策和撥款

  • 啟用和停用金鑰原則

  • 旋轉密碼鑰匙材料

  • 新增標籤

    如需 Secrets Manager 如何用AWS KMS來保護機密的詳細資訊,請參閱AWS Key Management Service開發人員指南AWS KMS中的「如何AWS Secrets Manager使用」主題。

    如需客戶受管金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的客戶受管金鑰

注意

AWS KMS使用客戶受管金鑰須支付費用如需定價的詳細資訊,請參閱 AWS Key Management Service 定價頁面。

您可以使用 AWS KMS API AWS Management Console 或以程式設計方式建立AWS KMS對稱的客戶管理金鑰。

若要建立對稱的客戶管理金鑰

按照AWS Key Management Service開發人員指南有關創建對稱客戶管理密鑰的步驟進行操作。

記下關鍵的亞馬遜資源名稱(ARN); 你需要它。步驟 2:建立AWS Secrets Manager密碼

加密內容

加密內容是一組選用的索引鍵值配對,其中包含有關資料的其他內容資訊。

密管理員在加密和解密. SecretString 加密上下文包括秘密 ARN,它將加密限制為該特定密碼。為了增加安全性措施,請代表您 MediaTailor 建立AWS KMS授權。 MediaTailor 應用僅允許我們解密SecretString與秘 Secrets Manager 加密上下文中包含的秘密 ARN 相關聯的GrantConstraints操作。

如需 Secrets Manager 如何使用加密內容的詳細資訊,請參閱AWS Key Management Service開發人員指南中的加密內容主題。

設定金鑰原則

關鍵原則可控制對客戶管理金鑰的存取。每個客戶管理的金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰以及如何使用金鑰的陳述式。建立客戶管理金鑰時,您可以使用預設金鑰原則。如需詳細資訊,請參閱AWS Key Management Service開發人員指南的 AWS KMS 驗證和存取控制

若要將客戶受管金鑰與 MediaTailor 來源位置資源搭配使用,您必須授與呼叫的 IAM 主體的權限,CreateSourceLocationUpdateSourceLocation使用下列 API 作業:

  • kms:CreateGrant— 將授權新增至客戶管理的金鑰。 MediaTailor 會對您的客戶管理金鑰建立授權,讓其使用金鑰建立或更新使用存取權杖驗證設定的來源位置。如需有關在 AWS KMS 中使用授權的詳細資訊,請參閱開AWS Key Management Service發人員指南。

    這允許執 MediaTailor 行以下操作:

    • 打電話,以Decrypt便它可以在呼叫時成功檢索您的 Secrets Manager 碼GetSecretValue

    • 在刪除來源位置或已撤銷密碼存取權時,呼RetireGrant叫以淘汰授權。

以下是您可以新增的範例政策陳述式 MediaTailor:

{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }

如需有關在原則中指定權限和對金鑰存取進行疑難排解的詳細資訊,請參閱AWS Key Management Service開發人員指南中的 AWSKMS 中的授