Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cifrado de contenido y DRM en AWS Elemental MediaConvert
Protege tu contenido del uso no autorizado mediante el cifrado. Los sistemas de gestión de derechos digitales (DRM) proporcionan claves AWS Elemental MediaConvert para el cifrado del contenido y licencias a los jugadores compatibles y a otros consumidores para el descifrado.
En las siguientes secciones se proporcionan instrucciones sobre cómo elegir e implementar el cifrado de contenido con SPEKE for. MediaConvert
**Topics**
+ [Soporte para contenedores y sistemas DRM con SPEKE](encryption-choosing-speke-version.md)
+ [Implementación de SPEKE](encryption-deploying-speke.md)
+ [Parámetros de cifrado de SPEKE](speke-encryption-parameters.md)
+ [Ajustes preestablecidos de la v2.0 de SPEKE](drm-content-speke-v2-presets.md)
+ [Uso de claves de contenido cifradas con DRM](drm-content-key-encryption.md)
+ [Resolución de problemas de cifrado DRM](troubleshooting-encryption.md)
+ [Requisitos](encryption-requirements.md)
# Soporte para contenedores y sistemas DRM con SPEKE
MediaConvert es compatible con la [versión 1.0 de SPEKE y la versión](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api.html) 2.0 de [SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api-v2.html). Para obtener más información, consulte la [Guía para socios y clientes de SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/speke-api-specification.html).
**Contenedores y sistemas DRM compatibles con la v1.0 de SPEKE**
En la tabla siguiente, se presentan los diferentes contenedores y sistemas de administración de derechos digitales (DRM) compatibles con la versión 1.0 de SPEKE.
**Soporte DRM de la v1.0 de SPEKE**
| | | | |
| --- |--- |--- |--- |
| Tipo de grupo de salida | Apple Fairplay | Google Widevine | Microsoft PlayReady |
| DASH | No compatible | Soportado | compatible |
| Apple HLS | compatible | No admitido | No admitido |
| Microsoft Smooth | No admitido | No admitido | compatible |
| CMAF DASH y CMAF HLS | Soportado | Soportado | compatible |
**Contenedores y sistemas DRM compatibles con la v2.0 de SPEKE**
En la tabla siguiente, se presentan los diferentes contenedores y sistemas de administración de derechos digitales (DRM) compatibles con la versión 2.0 de SPEKE.
**Soporte DRM de la v2.0 de SPEKE**
| | | | |
| --- |--- |--- |--- |
| Tipo de grupo de salida | Apple Fairplay | Google Widevine | Microsoft PlayReady |
| DASH | No compatible | Soportado | compatible |
| Apple HLS | Compatible (Sample-AES) | Soportado | compatible |
| Microsoft Smooth | No admitido | No admitido | No admitido |
| CMAF DASH y CMAF HLS | Compatible (CBCS) | Compatible (CBCS y CENC) | Compatible (CBCS y CENC) |
**Sistema DRM compatible IDs**
En la siguiente tabla se enumeran los diferentes [sistemas DRM IDs compatibles](https://dashif.org/identifiers/content_protection/) MediaConvert .
| | | | |
| --- |--- |--- |--- |
| Sistema IDs — Matriz de soporte para el sistema DRM | Apple FairPlay | Google Widevine | Microsoft PlayReady |
| ID del sistema | 94ce86fb-07ff-4f43-adb8-93d2fa968ca2 | edef8ba9-79d6-4ace-a3c8-27dcd51d21ed | 9a04f079-9840-4286-ab92-e65be0885f95 |
# Implementación de SPEKE
Tu proveedor de sistemas de gestión de derechos digitales (DRM) puede ayudarte a configurar el uso del cifrado DRM en. MediaConvert Por lo general, el proveedor le proporciona una puerta de enlace SPEKE para instalarla en el mismo Región de AWS lugar Cuenta de AWS en el que se MediaConvert ejecuta.
Si debe crear su propia API Gateway para conectarse MediaConvert a su servicio de claves, puede utilizar el [servidor de referencia SPEKE](https://github.com/awslabs/speke-reference-server) disponible en GitHub como punto de partida.
# Parámetros de cifrado de SPEKE
Al solicitar el cifrado, proporciona parámetros de entrada que permitan al servicio localizar el servidor de claves de su proveedor de soluciones DRM, autenticarse como usuario y solicitar las claves de cifrado adecuadas. Algunas opciones solo están disponibles para determinados grupos de salida.
Introduce los parámetros de cifrado SPEKE tal y como se indica a continuación:
+ En el campo **ID de recurso**, ingresa un identificador para el contenido. El servicio lo envía al servidor de claves para identificar el punto de conexión actual. El grado de exclusividad depende de la precisión que quieras que tengan los controles de acceso. El servicio no permite utilizar el mismo identificador en dos procesos de cifrado simultáneos. El identificador del recurso también se conoce como identificador de contenido.
El siguiente ejemplo muestra un ID de recurso.
```
MovieNight20171126093045
```
+ En **ID de sistema**, escribe identificadores únicos para el protocolo de streaming y el sistema DRM. La cantidad de sistemas IDs que puedes especificar varía según el tipo de grupo de salida:
+ CMAF: para el **sistema IDs señalizado en DASH**, especifique al menos uno y hasta tres. IDs En **ID de sistema indicados en HLS**, especifica un ID.
+ DASH: para el **ID del sistema**, especifique al menos uno y hasta dos. IDs
+ Apple HLS: para el **ID de sistema**, especifica un ID.
Si proporcionas varios ID del sistema en el mismo campo, introdúzcalos en líneas separadas y no los separes mediante comas ni ningún otro signo de puntuación.
Para obtener una lista de los sistemas comunes IDs, consulte Sistema [DASH-IF](https://dashif.org/identifiers/content_protection/). IDs Si no los conoce IDs, solicítelos a su proveedor de soluciones DRM.
+ En **URL**, ingresa la URL del proxy de API Gateway que se configuró para la comunicación con el servidor de claves. El proxy de API Gateway debe residir en el mismo Región de AWS lugar que MediaConvert.
En el siguiente ejemplo, se muestra una URL.
```
https://1wm2dx1f33.execute-api.us-west-2.amazonaws.com/SpekeSample/copyProtection
```
+ (Opcional) Para el **ARN del certificado**, ingresa un ARN de certificado RSA 2048 para usarlo en el cifrado de claves de contenido. Utiliza esta opción únicamente si su proveedor de claves DRM es compatible con el cifrado de claves de contenido. Si la utilizas y su proveedor de claves no es compatible con ella, la solicitud producirá un error.
Para introducir un ARN de certificado aquí, debe haber importado ya el certificado correspondiente AWS Certificate Manager, haber introducido el ARN del certificado de ACM en el panel MediaConvert **Certificados** y haberlo asociado a. MediaConvert Para obtener más información, consulte [Uso de claves de contenido cifradas con DRM](drm-content-key-encryption.md).
En el ejemplo siguiente, se muestra un ARN de certificado:
```
arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e
```
**Para cifrar contenido mediante SPEKE v1.0 mediante la consola: MediaConvert**
1. Configura la tarea de transcodificación como de costumbre. Para obtener más información, consulta [Tutorial: configuración de los ajustes de la tarea](setting-up-a-job.md).
1. En la página **Crear tarea**, en el panel **Trabajo** de la izquierda, en **Grupos de salidas**, elige un grupo de salidas para el que quieras habilitar el cifrado.
1. Activa el **cifrado DRM**.
1. Para los grupos de salidas **CMAF** y **Apple HLS** elige el método de cifrado. Asegúrate de que el método de cifrado elegido funciona con el sistema DRM que quiere utilizar.
Para los grupos de salida **DASH ISO** y **MS Smooth**, no especificas el método de cifrado. MediaConvert siempre usa el cifrado AES-CTR (AES-128) con estos grupos de salida.
1. En los grupos de salidas **CMAF** y **Apple HLS**, elige el origen de la clave de cifrado de contenido. En **Tipo de proveedor de claves**, seleccione **SPEKE** para realizar el cifrado con una clave facilitada por su proveedor de soluciones DRM o elige **Clave estática** para especificar su propia clave.
Para los grupos de salidas **DASH ISO** y **MS Smooth** no se especifica el origen de la clave de cifrado de contenido. Con estos grupos de salida, solo MediaConvert realiza DRM con un proveedor de claves compatible con SPEKE.
+ Para **SPEKE**, rellene los campos de parámetro de cifrado.
+ Para **Clave estática**, consulte [Parámetros de cifrado de clave estática](#static-key-encryption-parameters).
## Opciones de configuración adicionales para Apple HLS y CMAF
+ (Opcional) Para el **Vector de inicialización constante** ingresa un valor hexadecimal de 128 bits y 16 bytes representado por una cadena de 32 caracteres, que se utiliza con la clave para cifrar contenido.
## Parámetros de cifrado de clave estática
Las siguientes opciones son para el cifrado de clave estática:
+ **Valor de clave estática**: una cadena válida para cifrar contenido.
+ **URL**: la URL que se incluirá en el manifiesto para que los dispositivos reproductores puedan descifrar el contenido.
# Ajustes preestablecidos de la v2.0 de SPEKE
La versión 2.0 de SPEKE admite el uso de varias claves de cifrado distintas para las pistas de audio y vídeo. MediaConvert utiliza **ajustes preestablecidos** para configurar el cifrado. La MediaConvert API define estos ajustes preestablecidos. Los ajustes preestablecidos asignan las claves de cifrado a pistas de audio o vídeo específicas en función del número de canales de las pistas de audio y de la resolución de vídeo de las pistas de vídeo. MediaConvert utiliza combinaciones específicas de ajustes preestablecidos de cifrado de audio y vídeo para admitir tres escenarios de cifrado diferentes:
+ [Situación 1: pistas cifradas y no cifradas](#drm-content-speke-v2-presets-unencrypted-and-encrypted-tracks)
+ [Situación 2: clave de cifrado única para todas las pistas de audio y video](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks)
+ [Situación 3: clave de cifrado múltiple para las pistas de audio y video](#drm-content-speke-v2-presets-multiple-encryption-keys-for-audio-and-video-tracks)
## Situación 1: pistas cifradas y no cifradas
Puedes optar por *no* cifrar las pistas de audio o video seleccionando el ajuste preestablecido **SIN CIFRAR** en los menús **Ajustes preestablecidos de cifrado de video** o **Ajustes preestablecidos cifrado de audio**. No puedes seleccionar **SIN CIFRAR** para los ajustes preestablecidos de audio y video ya que, si lo haces, no tiene intención de cifrar ninguna de las pistas. Además, no puedes combinar los ajustes preestablecidos **SIN CIFRAR** y **COMPARTIDO** para audio y video, ya que **COMPARTIDO** es un ajuste preestablecido especial. Para obtener más información, consulta [Situación 2: clave de cifrado única para todas las pistas de audio y video](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks).
La siguiente lista describe las combinaciones válidas de ajustes preestablecidos **SIN CIFRAR**:
+ **SIN CIFRAR** para pistas de audio y cualquier ajuste preestablecido de video con un nombre que comience por `PRESET_VIDEO_`
+ **SIN CIFRAR** para pistas de video y cualquier ajuste preestablecido de audio con un nombre que comience por `PRESET_AUDIO_`
## Situación 2: clave de cifrado única para todas las pistas de audio y video
El ajuste preestablecido **COMPARTIDO** de la versión 2.0 de SPEKE utiliza una clave de cifrado única para todas las pistas de audio y video, como en la versión 1.0 de SPEKE. Si selecciona el ajuste preestablecido **COMPARTIDO**, selecciónelo para el cifrado de audio y video.
## Situación 3: clave de cifrado múltiple para las pistas de audio y video
Cuando se utiliza un ajuste preestablecido con un nombre que comienza por `PRESET_VIDEO_` o`PRESET_AUDIO_`, MediaConvert cifra las pistas de audio y vídeo con el número de claves de cifrado que defina el ajuste preestablecido específico. Las tablas siguientes muestran el número de claves MediaConvert solicitadas desde el servidor de claves y la forma en que esas claves se asignan a las pistas. Si ninguna pista coincide con los criterios de una clave concreta, MediaConvert no utiliza esa clave para cifrar ninguna pista.
MediaConvert cifra únicamente las pistas trickplay en formato I con la clave correspondiente a su resolución.
En la siguiente tabla, el valor del **nombre de clave** es el valor del `ContentKeyUsageRule@IntendedTrackType` atributo que se MediaConvert utiliza en el documento CPIX. Se envía al servidor de SPEKE para obtener una clave de contenido específica.
**Ajustes preestablecidos de cifrado de video**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/mediaconvert/latest/ug/drm-content-speke-v2-presets.html)
En la siguiente tabla, el valor del **nombre de clave** es el valor del `ContentKeyUsageRule@IntendedTrackType` atributo que se MediaConvert utiliza en el documento CPIX. Se envía al servidor de SPEKE para obtener una clave de contenido específica.
**Ajustes preestablecidos de cifrado de audio**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/mediaconvert/latest/ug/drm-content-speke-v2-presets.html)
Ahora ya sabe cómo MediaConvert es compatible con los ajustes preestablecidos de la versión 2.0 de SPEKE para pistas cifradas y no cifradas. Con estos ajustes preestablecidos, puedes utilizar una clave de cifrado única para todas las pistas de audio y video, y múltiples claves de cifrado para las pistas de audio y video.
# Uso de claves de contenido cifradas con DRM
Para que la solución de cifrado de DRM sea más segura, utiliza claves de contenido cifradas además del contenido cifrado. Para usar claves de contenido cifradas, debe importar los certificados adecuados a AWS Certificate Manager (ACM) y, a continuación, prepararlos para usarlos con AWS Elemental MediaConvert ellos. Para obtener información sobre ACM, consulta la [Guía del usuario de AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/).
Ejecuta AWS Certificate Manager en la misma región en la que AWS Elemental MediaConvert corres.
**Si quieres preparar un certificado para el cifrado de claves de contenido DRM**
1. Obtén un certificado firmado con 2048 RSA, SHA-512.
1. Abra la consola ACM en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).
1. Importe el certificado a ACM siguiendo las instrucciones en [Importar certificados a AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html). Anote el ARN del certificado resultante, ya que lo necesitará más adelante.
Para poder utilizarlo en el cifrado de DRM, el certificado debes tener el estado **Emitido** en ACM.
1. Abra la MediaConvert consola en. [https://console.aws.amazon.com/mediaconvert/](https://console.aws.amazon.com/mediaconvert/)
1. En el panel de navegación, en **Certificados**, ingresa su ARN del certificado y, a continuación, elige **Asociar certificado**.
**Para encontrar certificados que están asociados con AWS Elemental MediaConvert**
En la consola ACM, enumere y muestre sus certificados para encontrar aquellos a los que está asociado MediaConvert. En la sección **Detalles** de la descripción del certificado, puede ver la MediaConvert asociación y recuperar el ARN del certificado. Para más información, consulta [Mostrar certificados administrados por ACM](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-list.html) y [Descripción de los certificados de ACM](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-describe.html).
**Para usar un certificado en AWS Elemental MediaConvert**
Cuando utilice el cifrado DRM, introduzca uno de sus certificados asociados ARNs en los parámetros de cifrado de SPEKE. De este modo, se habilita el cifrado de claves de contenido. Puedes utilizar el mismo ARN de certificado con diferentes tareas. Para obtener más información, consulta [Soporte para contenedores y sistemas DRM con SPEKE](encryption-choosing-speke-version.md).
**Para renovar un certificado**
Para renovar un certificado al que esté asociado AWS Elemental MediaConvert, vuelva a importarlo. AWS Certificate Manager El certificado se renueva sin que se interrumpa su uso en MediaConvert.
**Para eliminar un certificado**
Para eliminar un certificado de AWS Certificate Manager, primero debe disociarlo de cualquier otro servicio. **Para disociar un certificado AWS Elemental MediaConvert, copie su ARN de certificado de ACM, vaya al panel MediaConvert **Certificados**, introduzca el ARN del certificado y, a continuación, elija Disociar certificado.**
# Resolución de problemas de cifrado DRM
Si el servidor de claves del sistema DRM no está disponible cuando AWS Elemental MediaConvert solicita las claves, la consola muestra el siguiente mensaje: El servidor de claves no está disponible.
El cifrado de clave de contenido agrega otra capa de complejidad a sus tareas. Si tienes problemas en una tarea que tiene habilitado el cifrado de clave de contenido, elimina el ARN del certificado de su configuración de tarea y solucione el problema del tarea mediante la entrega de claves sin cifrado. Una vez que esto funcione, vuelve a introducir el ARN del certificado y, a continuación, vuelve a intentar el tarea.
Si se pone en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/) para solucionar el problema, tenga disponible la siguiente información:
+ La región en la que se ejecutaba el tarea
+ ID de tarea
+ ID de cuenta
+ El nombre del proveedor de soluciones de DRM
+ Cualquier otra información sobre el problema que tenga que puedan contribuir a la resolución de problemas
# Requisitos
Al implementar el cifrado de contenido MediaConvert, consulte las siguientes limitaciones y requisitos:
+ Utilice la API AWS Secure Packager and Encoder Key Exchange (SPEKE) para facilitar la integración con un proveedor de sistemas de gestión de derechos digitales (DRM). Para obtener información sobre SPEKE, consulta [¿Qué es Secure Packager and Encoder Key Exchange?](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html)
+ Su proveedor de DRM debe ser compatible con SPEKE. Para obtener una lista de proveedores de DRM compatible con SPEKE, consulte el tema [Conectar con un proveedor de plataformas de DRM](https://docs.aws.amazon.com/speke/latest/documentation/customer-onboarding.html#choose-drm-provider) en la *Guía del usuario de MediaConvert*. Su proveedor de DRM puede ayudarlo a configurar el uso del cifrado DRM en. MediaConvert