步驟 1:建立AWS KMS對稱客户受管金鑰 - AWS Elemental MediaTailor

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 1:建立AWS KMS對稱客户受管金鑰

您使用AWS Secrets Manager將您的訪問令牌存儲為SecretString存放在一個祕密。所以此SecretString通過使用AWS KMS對稱客户受管金鑰您可以建立、擁有和管理的資訊。 MediaTailor 使用對稱的客户託管密鑰來方便通過授權訪問密鑰,以及加密和解密密鑰值。

客户託管密鑰允許您執行以下任務:

  • 建立和維護關鍵政策

  • 建立和維護 IAM 策略和授權

  • 啟用和停用金鑰政策

  • 輪換密碼密鑰資料

  • 新增標籤

    如需有關 Secret Manager 如何使用的資訊AWS KMS保護祕密,請參閲主題操作説明AWS Secrets Manager使用AWS KMS中的AWS Key Management Service開發人員指南

    如需客戶受管金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的客戶受管金鑰

注意

AWS KMS使用客户管理金鑰的費用如需定價的詳細資訊,請參 AWS Key Management Service 定價頁

您可以建立AWS KMS對稱客户託管密鑰使用AWS Management Console或以編程方式使用AWS KMSAPI。

若要建立對稱客户受管金鑰

請遵循下列步驟創建對稱的客户託管密鑰中的AWS Key Management Service開發人員指南。

請記下關鍵的 Amazon Resource Name (ARN);您將會在步驟 2:建立AWS Secrets Manager秘密

加密內容

同時加密內容是一組可選的鍵值對,其中包含數據的其他相關內容資訊。

SSecrets Manager 包含加密內容當加密和解密SecretString。加密上下文包括祕密 ARN,它將加密限製為該特定密鑰。作為一項額外的安全措施, MediaTailor 建立AWS KMS以您的名義授予。 MediaTailor 已套用GrantConstraint操作,只允許我們解密SecretString與 Secrets Manager 加密上下文中包含的祕密 ARN 相關聯。

有關 Secrets Manager 如何使用加密上下文的信息,請參閲Secrets Manager 加密內容主題AWS Key Management Service開發人員指南

設定金鑰政策

關鍵策略控制對客户託管密鑰的訪問。每個客户管理的金鑰都必須有一個關鍵政策,其中包含決定誰可以使用該密鑰以及可以使用它的方式的陳述式。創建客户託管密鑰時,您可以使用默認密鑰策略。如需詳細資訊,請參閱「」管理對客户受管金鑰的存取中的AWS Key Management Service開發人員指南

若要將您的客户託管密鑰與 MediaTailor 源位置資源,則必須向調用CreateSourceLocation或者UpdateSourceLocation來使用下列 API 操作:

  • kms:CreateGrant— 將授與新增至客户受管金鑰。 MediaTailor 為您的客户託管密鑰創建授權,允許客户使用密鑰創建或更新配置了訪問令牌身份驗證的源位置。如需有關 的詳細資訊使用授與,請參AWS Key Management Service開發人員指南。

    這使得 MediaTailor 來執行下列動作:

    • CallDecrypt,以便它可以成功地檢索您的 Secrets Manager 密碼GetSecretValue

    • CallRetireGrant以在刪除源位置或取消對密鑰的訪問權限時停用授權。

以下是政策陳述式範例,您可以為 MediaTailor:

{ "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account number:role/MediaTailorManagement" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "mediatailor.region.amazonaws.com" } } }

如需有關 的詳細資訊在政策中指定許可,請參AWS Key Management Service開發人員指南

有關疑難解答金鑰存取,請參AWS Key Management Service開發人員指南