Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Secrets Manager Arbeitet mit Zugriffstoken-Authentifizierung
MediaTailor unterstützt die *Secrets Manager Manager-Zugriffstoken-Authentifizierung*. Bei der AWS Secrets Manager Zugriffstoken-Authentifizierung werden ein AWS Key Management Service (AWS KMS) vom Kunden verwalteter Schlüssel und ein AWS Secrets Manager Geheimnis MediaTailor verwendet, das Sie selbst erstellen, besitzen und verwalten, um Anfragen an Ihren Absender zu authentifizieren.
In diesem Abschnitt erklären wir, wie die Secrets Manager Manager-Zugriffstoken-Authentifizierung funktioniert, und geben step-by-step Informationen zur Konfiguration der Secrets Manager Manager-Zugriffstoken-Authentifizierung. Sie können mit der Secrets Manager Manager-Zugriffstoken-Authentifizierung in AWS-Managementkonsole oder programmgesteuert mit arbeiten. AWS APIs
**Topics**
+ [Konfiguration der AWS Secrets Manager Zugriffstoken-Authentifizierung](channel-assembly-access-configuration-access-configuring.md)
+ [Integration mit MediaPackage Endpunkten, die CDN-Autorisierung verwenden](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [So funktioniert die MediaTailor Secrets Manager Manager-Zugriffstoken-Authentifizierung](channel-assembly-access-configuration-overview.md)
# Konfiguration der AWS Secrets Manager Zugriffstoken-Authentifizierung
Wenn Sie die AWS Secrets Manager Zugriffstoken-Authentifizierung verwenden möchten, führen Sie die folgenden Schritte aus:
1. Sie [erstellen einen vom AWS Key Management Service Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. Sie [erstellen ein AWS Secrets Manager Geheimnis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Das Geheimnis enthält Ihr Zugriffstoken, das in Secrets Manager als verschlüsselter geheimer Wert gespeichert ist. MediaTailor verwendet den vom AWS KMS Kunden verwalteten Schlüssel, um den geheimen Wert zu entschlüsseln.
1. Sie konfigurieren einen AWS Elemental MediaTailor Quellspeicherort für die Verwendung der Secrets Manager Manager-Zugriffstoken-Authentifizierung.
Der folgende Abschnitt enthält step-by-step Anleitungen zur Konfiguration der AWS Secrets Manager Zugriffstoken-Authentifizierung.
**Topics**
+ [Schritt 1: Erstellen Sie einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Schritt 2: Erstellen Sie ein AWS Secrets Manager Geheimnis](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Schritt 3: Konfigurieren Sie einen MediaTailor Quellstandort mit Zugriffstoken-Authentifizierung](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Schritt 1: Erstellen Sie einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel
Sie verwenden AWS Secrets Manager , um Ihr Zugriffstoken in Form eines geheimen Codes zu `SecretString` speichern. Der `SecretString` wird mithilfe eines *AWS KMS symmetrischen, vom Kunden verwalteten Schlüssels* verschlüsselt, den Sie erstellen, besitzen und verwalten. MediaTailor verwendet den symmetrischen, vom Kunden verwalteten Schlüssel, um den Zugriff auf den geheimen Schlüssel zu erleichtern und den geheimen Wert zu verschlüsseln und zu entschlüsseln.
Mit vom Kunden verwalteten Schlüsseln können Sie Aufgaben wie die folgenden ausführen:
+ Festlegung und Pflege wichtiger Richtlinien
+ Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Rotierendes kryptografisches Schlüsselmaterial
+ Hinzufügen von -Tags
Informationen zur Verwendung von Secrets Manager AWS KMS zum Schutz von Geheimnissen finden Sie im Thema [AWS Secrets Manager Anwendungsmöglichkeiten AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) im *AWS Key Management Service Entwicklerhandbuch*.
Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter [Kundenverwaltete ](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)Schlüssel im *AWS Key Management Service Developer Guide*.
**Anmerkung**
AWS KMS Für die Nutzung eines vom Kunden verwalteten Schlüssels fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie auf der Seite mit den [AWS Key Management Service Preisen](https://aws.amazon.com/kms/pricing/).
Sie können einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel mithilfe von AWS-Managementkonsole oder programmgesteuert mit dem erstellen. AWS KMS APIs
### Einen symmetrischen kundenverwalteten Schlüssel erstellen
*Folgen Sie den Schritten zum [Erstellen eines symmetrischen, vom Kunden verwalteten Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im Entwicklerhandbuch.AWS Key Management Service *
Notieren Sie sich den wichtigsten Amazon Resource Name (ARN); Sie benötigen ihn in[Schritt 2: Erstellen Sie ein AWS Secrets Manager Geheimnis](#channel-assembly-access-configuration-access-token-how-to-create-secret).
### Verschlüsselungskontext
Ein *Verschlüsselungskontext* ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.
Secrets Manager beinhaltet einen [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) beim Verschlüsseln und Entschlüsseln von. `SecretString` Der Verschlüsselungskontext umfasst den geheimen ARN, der die Verschlüsselung auf dieses spezifische Geheimnis beschränkt. Als zusätzliche Sicherheitsmaßnahme gewährt es MediaTailor in Ihrem Namen einen AWS KMS Zuschuss. MediaTailor wendet eine [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)Operation an, die es uns nur ermöglicht, den mit dem geheimen Schlüssel `SecretString` verknüpften ARN zu *entschlüsseln*, der im Secrets Manager-Verschlüsselungskontext enthalten ist.
Informationen darüber, wie Secrets Manager den Verschlüsselungskontext verwendet, finden Sie im Thema [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) im *AWS Key Management Service Entwicklerhandbuch*.
### Festlegung der Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie die Standardschlüsselrichtlinie verwenden. Weitere Informationen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) im *Entwicklerhandbuch zu AWS Key Management Service *.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren MediaTailor Quellstandortressourcen zu verwenden, müssen Sie dem IAM-Prinzipal, der die folgenden API-Operationen aufruft [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)oder [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)verwendet, die Erlaubnis erteilen:
+ `kms:CreateGrant`— Fügt einem vom Kunden verwalteten Schlüssel einen Zuschuss hinzu. MediaTailor erstellt einen Zuschuss für Ihren vom Kunden verwalteten Schlüssel, sodass dieser den Schlüssel verwenden kann, um einen Quellspeicherort zu erstellen oder zu aktualisieren, der mit Zugriffstoken-Authentifizierung konfiguriert ist. Weitere Informationen zur Verwendung von [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) finden Sie im *AWS Key Management Service Developer Guide.*
Auf diese Weise können MediaTailor Sie Folgendes tun:
+ Rufen Sie an, `Decrypt` damit Ihr Secrets Manager Manager-Geheimnis beim Aufrufen erfolgreich abgerufen werden kann [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Rufen Sie an`RetireGrant`, um den Zuschuss zurückzuziehen, wenn der Quellspeicherort gelöscht oder der Zugriff auf den geheimen Schlüssel gesperrt wurde.
Im Folgenden finden Sie ein Beispiel für eine Richtlinienerklärung, die Sie hinzufügen können: MediaTailor
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie und zur Problembehandlung beim Schlüsselzugriff finden Sie unter [Grants AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Developer Guide*.
## Schritt 2: Erstellen Sie ein AWS Secrets Manager Geheimnis
Verwenden Sie Secrets Manager, um Ihr Zugriffstoken in Form eines durch einen `SecretString` AWS KMS Kunden verwalteten Schlüssels zu speichern. MediaTailorverwendet den Schlüssel, um den zu entschlüsseln. `SecretString` Informationen zur Verwendung von Secrets Manager AWS KMS zum Schutz von Geheimnissen finden Sie im Thema [AWS Secrets Manager Anwendungsmöglichkeiten AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) im *AWS Key Management Service Entwicklerhandbuch*.
Wenn Sie Origin AWS Elemental MediaPackage als Quelladresse verwenden und die MediaTailor Secrets Manager Manager-Zugriffstoken-Authentifizierung verwenden möchten, gehen Sie wie folgt vor[Integration mit MediaPackage Endpunkten, die CDN-Autorisierung verwenden](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Sie können ein Secrets Manager-Geheimnis mit dem AWS-Managementkonsole oder programmgesteuert mit dem Secrets Manager erstellen. APIs
### So erstellen Sie ein Secret
Folgen Sie den Schritten unter [Secrets erstellen und verwalten mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) im *AWS Secrets Manager Benutzerhandbuch*.
Beachten Sie bei der Erstellung Ihres Geheimnisses die folgenden Überlegungen:
+ Das [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)muss der [Schlüssel-ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) des vom Kunden verwalteten Schlüssels sein, den Sie in Schritt 1 erstellt haben.
+ Sie müssen eine angeben [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). Das `SecretString` sollte ein gültiges JSON-Objekt sein, das einen Schlüssel und einen Wert enthält, die das Zugriffstoken enthalten. Zum Beispiel \$1“ MyAccessTokenIdentifier „:"112233445566"\$1. Der Wert muss zwischen 8 und 128 Zeichen lang sein.
Wenn Sie Ihren Quellstandort mit Zugriffstoken-Authentifizierung konfigurieren, geben Sie den `SecretString` Schlüssel an. MediaTailor verwendet den Schlüssel, um das in der gespeicherte Zugriffstoken zu suchen und abzurufen`SecretString`.
Notieren Sie sich den geheimen ARN und den `SecretString` Schlüssel. Sie werden sie verwenden, wenn Sie Ihren Quellstandort für die Verwendung der Zugriffstoken-Authentifizierung konfigurieren.
### Anhängen einer ressourcenbasierten Geheimrichtlinie
Um MediaTailor auf den geheimen Wert zugreifen zu können, müssen Sie dem Geheimnis eine ressourcenbasierte Richtlinie hinzufügen. Weitere Informationen finden Sie unter [Anhängen einer Berechtigungsrichtlinie an ein Secrets Manager Secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) im *AWS Secrets Manager Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Richtlinienerklärung, die Sie hinzufügen können MediaTailor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Schritt 3: Konfigurieren Sie einen MediaTailor Quellstandort mit Zugriffstoken-Authentifizierung
Sie können die Secrets Manager Manager-Zugriffstoken-Authentifizierung mit dem AWS-Managementkonsole oder programmgesteuert mit dem konfigurieren. MediaTailor APIs
**So konfigurieren Sie einen Quellstandort mit Secrets Manager Manager-Zugriffstoken-Authentifizierung**
Folgen Sie den Anweisungen [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) im *AWS Elemental MediaTailor Benutzerhandbuch*.
# Integration mit MediaPackage Endpunkten, die CDN-Autorisierung verwenden
Wenn Sie Origin AWS Elemental MediaPackage als Quellstandort verwenden, MediaTailor kann die Integration mit MediaPackage Endpunkten erfolgen, die CDN-Autorisierung verwenden.
Gehen Sie wie folgt vor, um die Integration mit einem MediaPackage Endpunkt durchzuführen, der die CDN-Autorisierung verwendet.
**Zur Integration mit MediaPackage**
1. Führen Sie die Schritte unter [CDN-Autorisierung einrichten](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html) im *AWS Elemental MediaPackage Benutzerhandbuch* aus, falls Sie dies noch nicht getan haben.
1. Schließen Sie das Verfahren in a [Schritt 1: Erstellen Sie einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
1. Ändern Sie das Geheimnis, das Sie bei der Einrichtung der MediaPackage CDN-Autorisierung erstellt haben. Ändern Sie das Geheimnis mit den folgenden Werten:
+ Aktualisieren Sie den ARN `KmsKeyId` mit dem vom Kunden verwalteten Schlüssel, in dem Sie ihn erstellt haben[Schritt 1: Erstellen Sie einen AWS KMS symmetrischen, vom Kunden verwalteten Schlüssel](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
+ (Optional) Für können Sie entweder die `SecretString` UUID auf einen neuen Wert rotieren oder Sie können das vorhandene verschlüsselte Geheimnis verwenden, sofern es sich um ein Schlüssel- und Wertepaar in einem Standard-JSON-Format handelt, z. B. `{"MediaPackageCDNIdentifier": "112233445566778899"}`
1. Führen Sie die Schritte unter au [Anhängen einer ressourcenbasierten Geheimrichtlinie](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy).
1. Führen Sie die Schritte unter au [Schritt 3: Konfigurieren Sie einen MediaTailor Quellstandort mit Zugriffstoken-Authentifizierung](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth).
# So funktioniert die MediaTailor Secrets Manager Manager-Zugriffstoken-Authentifizierung
Nachdem Sie einen Quellspeicherort für die Verwendung der Zugriffstoken-Authentifizierung erstellt oder aktualisiert haben, MediaTailor fügt er das Zugriffstoken in einen HTTP-Header ein, wenn Sie Quellinhaltsmanifeste von Ihrem Ursprung anfordern.
Im Folgenden finden Sie eine Übersicht darüber, wie die Secrets Manager Manager-Zugriffstoken-Authentifizierung für die Herkunftsauthentifizierung am Quellstandort MediaTailor verwendet wird:
1. Wenn Sie einen MediaTailor Quellspeicherort erstellen oder aktualisieren, der die Zugriffstoken-Authentifizierung verwendet, MediaTailor sendet eine [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId)Anfrage an Secrets Manager, um den mit dem Secret verknüpften AWS KMS Schlüssel zu ermitteln. Sie nehmen den geheimen ARN in Ihre Konfiguration für den Zugriff auf den Quellstandort auf.
1. MediaTailor erstellt eine Genehmigung für den vom Kunden verwalteten Schlüssel, MediaTailor sodass dieser mithilfe des Schlüssels auf das in der gespeicherte [Zugriffstoken](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) zugreifen und es entschlüsseln kann. SecretString Der Grant-Name wird lauten. `MediaTailor-SourceLocation-your AWS-Konto ID-source location name`
Sie können den Zugriff auf den Zuschuss jederzeit widerrufen oder ihm den Zugriff auf den vom Kunden verwalteten Schlüssel entziehen MediaTailor. Weitere Informationen finden Sie unter [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) in der *AWS Key Management Service -API-Referenz*.
1. Wenn eine VOD-Quelle erstellt, aktualisiert oder in einem Programm verwendet wird, sendet sie HTTP-Anfragen an die Quellverzeichnisse, MediaTailor um die mit den VOD-Quellen verknüpften Quellinhaltsmanifeste am Quellspeicherort abzurufen. Wenn die VOD-Quelle einem Quellstandort zugeordnet ist, für den ein Zugriffstoken konfiguriert ist, enthalten die Anfragen das Zugriffstoken als HTTP-Header-Wert.