Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autorización de CDN en AWS Elemental MediaPackage
<a name="cdn-auth"></a>

La*autorización de la red de entrega de contenido (CDN)* le ayuda a proteger su contenido contra el uso no autorizado. Cuando configuras la autorización de la CDN, MediaPackage solo atiende las solicitudes de reproducción que están autorizadas entre MediaPackage y tu CDN. Esto evita que los usuarios omitan la CDN para acceder directamente a su contenido en el origen.

## Funcionamiento
<a name="working-with-cdn-auth"></a>

Configura su CDN, como Amazon CloudFront, para incluir un *encabezado HTTP personalizado* en las solicitudes de contenido a MediaPackage.

Encabezado HTTP personalizado y valor de ejemplo.

```
X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660
```

Almacena el valor del encabezado como un *secreto* en AWS Secrets Manager. Cuando tu CDN envía una solicitud de reproducción, MediaPackage comprueba que el valor del secreto coincide con el valor del encabezado HTTP personalizado. MediaPackage recibe permiso para leer el secreto con una política y un AWS Identity and Access Management rol de permisos.

Clave secreta y valor de ejemplo.

```
{“MediaPackageCDNIdentifier”: "9ceebbe7-9607-4552-8764-876e47032660"}
```

Si los valores coinciden, MediaPackage muestra el contenido junto con un código de `200 OK` estado HTTP. Si no coincide o si la solicitud de autorización falla, MediaPackage no sirve el contenido y envía un código de `403 Unauthorized` estado HTTP.

La siguiente imagen muestra una autorización de CDN correcta mediante Amazon CloudFront.

![\[La imagen muestra un flujo de autenticación de CDN correcto. En la parte inferior izquierda se muestra un dispositivo de reproducción que solicita contenido de Amazon CloudFront indicado por una flecha. CloudFront incluye el encabezado y el valor HTTP personalizados en su solicitud MediaPackage, indicados con una flecha. MediaPackage solicita la información secreta de AWS Secrets Manager, indicada con una flecha, que depende del permiso de IAM. AWS Secrets Manager responde con el valor secreto a MediaPackage. MediaPackage verifica que el secreto coincide con el valor del encabezado, que se indica mediante una casilla de verificación verde. MediaPackage envía un código de 200 OK estado HTTP junto con el contenido de vídeo a. CloudFront CloudFront envía el contenido de vídeo al dispositivo de reproducción.\]](http://docs.aws.amazon.com/es_es/mediapackage/latest/ug/images/cdn_auth.png)


Para step-by-step obtener instrucciones sobre cómo configurar la autorización de CDN, consulte[Configuración de la autorización de CDN](cdn-auth-setup.md).

# Configuración de la autorización de CDN
<a name="cdn-auth-setup"></a>

Complete los siguientes pasos para configurar la autorización de CDN.

**Topics**
+ [Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN](#cdn-aut-setup-cdn)
+ [Paso 2: Guarda el valor en secreto en AWS Secrets Manager](#cdn-aut-setup-secret)
+ [Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager](#cdn-aut-setup-iam)
+ [Paso 4: Habilite la autorización de CDN en MediaPackage](#cdn-aut-setup-endpoint)

## Paso 1: Configurar un encabezado HTTP de origen personalizado de CDN
<a name="cdn-aut-setup-cdn"></a>

En su CDN, configure un encabezado HTTP de origen personalizado que contenga el encabezado **X-MediaPackage-CDNIdentifier** y un valor. Para el valor, se recomienda utilizar el formato [UUID versión 4](https://www.ietf.org/rfc/rfc4122.txt) que produce una cadena de 36 caracteres. Si no está utilizando el formato UUID versión 4, el valor debe tener entre 8 y 128 caracteres.

Si su CDN tiene configurados los encabezados de autorización, MediaPackage devuelve un error 404 hasta que la autorización de CDN esté habilitada en el punto final.

**importante**  
El valor que elija debe ser un valor estático. No existe una integración nativa entre tu CDN y AWS Secrets Manager, por lo tanto, el valor debe ser estático tanto en tu CDN como en ella. AWS Secrets Manager Si cambia este valor después de configurar su CDN y su secreto, tiene que rotar manualmente el valor. Para obtener más información, consulte [Rotación del valor del encabezado de CDN](cdn-auth-rotate.md).

**Encabezado y valor de ejemplo**

```
X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660
```

**Para crear un encabezado personalizado en Amazon CloudFront**

1. Inicia sesión en Consola de administración de AWS y abre la CloudFront consola en[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Crear o editar una distribución.

1. En **Origin Settings** (Configuración de origen), complete los campos. Utilizará este mismo valor para su secreto en Secrets Manager.
   + En **Header Name** (Nombre de encabezado), escriba **X-MediaPackage-CDNIdentifier**.
   + En **Valor**, introduzca un valor. Se recomienda utilizar el formato UUID versión 4, que produce una cadena de 36 caracteres. Si no está utilizando el formato UUID versión 4, el valor debe tener entre 8 y 128 caracteres. 

1. Complete el resto de los campos y guarde la distribución.

Para obtener más información sobre los encabezados personalizados en CloudFront, consulta Cómo [reenviar los encabezados de los clientes a tu origen en la Guía](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html) para desarrolladores de *Amazon CloudFront *.

## Paso 2: Guarda el valor en secreto en AWS Secrets Manager
<a name="cdn-aut-setup-secret"></a>

Almacene el mismo valor que utiliza en el encabezado HTTP de origen personalizado como *secreto* en AWS Secrets Manager. El secreto debe usar la misma configuración de AWS cuenta y región que tus AWS Elemental MediaPackage recursos. MediaPackageno permite compartir secretos entre cuentas o regiones. Sin embargo, puede usar el mismo secreto en varios puntos de enlace de la misma región y en la misma cuenta.

**Almacenar un secreto en Secrets Manager**

1. Inicie sesión en la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Elija **Almacenar un secreto nuevo**. En **Tipo de secreto**, elija **Otro tipo de secreto**.

1. En **Pares clave/valor**, introduzca la información de la clave y el valor.
   + En el cuadro de la izquierda, introduzca **MediaPackageCDNIdentifier**.
   + En el cuadro de la derecha, escriba el valor que configuró para el encabezado HTTP de origen personalizado. Por ejemplo, `9ceebbe7-9607-4552-8764-876e47032660`.

1. En el **caso de la clave de cifrado**, puede mantener el valor predeterminado como **DefaultEncryptionKey**.

1. Elija **Siguiente**.

1. En **Secret name (Nombre secreto)**, le recomendamos que añada **MediaPackage/** como prefijo para que sepa que es un secreto utilizado para MediaPackage. Por ejemplo, **MediaPackage/cdn\$1auth\$1us-west-2**.

1. Elija **Siguiente**.

1. En **Configure automatic rotation (Configurar rotación automática)**, mantenga **Disable automatic rotation (Desactivar rotación automática)** como la configuración predeterminada.

   Si necesita rotar el código de autorización más adelante, consulte [Rotación del valor del encabezado de CDN](cdn-auth-rotate.md).

1. Elija **Next (Siguiente)** y, a continuación, elija **Store (Tienda)**.

   Esto le llevará a su lista de secretos.

1. Seleccione el nombre de su secreto para ver el **Secret ARN (ARN secreto)**. El ARN tiene un valor similar a `arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx`. Utilice el ARN secreto al configurar la autorización de CDN de MediaPackage en el paso 4: Habilitar autorización de CDN en MediaPackage. 

## Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager
<a name="cdn-aut-setup-iam"></a>

Cree una política y un rol de IAM para dar acceso de MediaPackage lectura a Secrets Manager. Cuando MediaPackage recibe una solicitud de reproducción de la CDN, verifica que el valor secreto almacenado coincide con el valor del encabezado HTTP personalizado. Siga los pasos de [AWS Elemental MediaPackage Permitir el acceso a otros AWS servicios](setting-up-create-trust-rel.md) para configurar la política y el rol.

## Paso 4: Habilite la autorización de CDN en MediaPackage
<a name="cdn-aut-setup-endpoint"></a>

Puede habilitar la autorización de CDN para sus terminales o grupos de empaquetado de vídeo bajo demanda (VOD) con la MediaPackage consola o la API. AWS CLI MediaPackage Utiliza el ARN para la política y el rol de IAM que creó en el paso 3: Crear una política y un rol de IAM para acceder a MediaPackage Secrets Manager.

**sugerencia**  
Utilice el mismo secreto en varios puntos de enlace de la misma región y en la misma cuenta. Reduzca costes creando un nuevo secreto solo cuando sea necesario para su flujo de trabajo.

Si su CDN tiene configurados los encabezados de autorización, MediaPackage devuelve el error 404 hasta que se habilite la autorización de CDN en el punto final.

**Para habilitar la autorización de CDN para contenido en directo a través de la consola**

1. Abre la consola en MediaPackage . [https://console.aws.amazon.com/mediapackage/](https://console.aws.amazon.com/mediapackage/)

1. Si aún no tiene un canal, cree uno. Para obtener ayuda, consulte [Creación de un canal](channels-create.md).

1. Cree o edite un punto de enlace.

1. En **Configuración de control de acceso**, seleccione **Usar autorización de CDN**. Complete los campos:
   + En **ARN de rol de secretos**, escriba el ARN para el rol de IAM que creó en [Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager](#cdn-aut-setup-iam).
   + En **ARN del secreto del identificador de CDN**, ingrese el ARN del secreto en Secrets Manager que su CDN utiliza para autorizar el acceso a su punto de conexión.

1. Complete los campos restantes según sea necesario y guarde el punto de enlace.

**Para habilitar la autorización de CDN para contenido VOD a través de la consola**

1. Abra la MediaPackage consola en [https://console.aws.amazon.com/mediapackage/](https://console.aws.amazon.com/mediapackage/).

1. Si aún no tiene un grupo de empaquetado VOD, cree uno. Para obtener ayuda, consulte [Creación de un grupo de empaquetado](pkg-group-create.md).

1. Cree o edite un grupo de empaquetado.

1. En **Configurar el control de acceso**, seleccione **Habilitar la autorización.** Complete los campos:
   + En **ARN de rol de secretos**, escriba el ARN para el rol de IAM que creó en [Paso 3: Crear una política y un rol de IAM para MediaPackage acceder a Secrets Manager](#cdn-aut-setup-iam).
   + En **ARN del secreto del identificador de CDN**, ingrese el ARN del secreto en Secrets Manager que su CDN utiliza para autorizar el acceso a su punto de conexión.

1. Complete los campos restantes según sea necesario y guarde el grupo de empaquetado.

Ha completado la configuración de la autorización de CDN. Las solicitudes a este punto de conexión deben contener el mismo código de autorización que guardó en Secrets Manager.

**Para habilitar la autorización de CDN con la API MediaPackage**  
Para obtener información sobre cómo habilitar la autorización de CDN con la MediaPackage API, consulta las siguientes referencias de la API:
+ [MediaPackage referencia de API activa](https://docs.aws.amazon.com/mediapackage/latest/apireference/resources.html)
+ [MediaPackage Referencia de la API de VOD](https://docs.aws.amazon.com/mediapackage-vod/latest/apireference/)

# Rotación del valor del encabezado de CDN
<a name="cdn-auth-rotate"></a>

Si cambia el valor del encabezado HTTP de origen personalizado de CDN, debe rotar el valor del secreto almacenado en Secrets Manager. El siguiente procedimiento describe cómo rotar el valor en Secrets Manager para asegurarse de que el valor del encabezado HTTP de su CDN y el valor del secreto almacenado en Secrets Manager están sincronizados.

**Para rotar el valor**

1. Actualice el valor del secreto almacenado en Secrets Manager tal como se describe en [Modificar un secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html) en la *Guía del usuario de AWS Secrets Manager *.

   Para garantizar la reproducción continua de las transmisiones activas, MediaPackage autoriza las solicitudes que utilizan el valor actual de Secrets Manager o una versión anterior.

1. Espere 10 minutos MediaPackage para que reconozca que el valor ha cambiado en Secrets Manager.

1. En su CDN, actualice el valor en `X-MediaPackage-CDNIdentifier` por el nuevo código de autorización.

1. Espere a que su CDN se actualice completamente con el nuevo valor antes de enviar cualquier solicitud a través de él a MediaPackage.

   Para deshabilitar el valor secreto anterior, guarde el nuevo valor secreto dos veces. De esta forma, tanto la versión secreta actual como la anterior tienen el mismo valor.