Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configurar la autenticación para la ubicación de origen
Utilice la **configuración de acceso** para configurar la autenticación de su ubicación de origen. Cuando la configuración de acceso está activada, MediaTailor solo recupera los manifiestos de origen si la solicitud está autorizada entre MediaTailor y su origen. La configuración de acceso está desactivada de forma predeterminada.
MediaTailor admite los siguientes tipos de autenticación:
+ Autenticación SigV4 para Amazon S3
+ AWS Secrets Manager token de acceso
+ SigV4 para la MediaPackage autenticación de la versión 2 (v2)
En este capítulo se explica cómo usar SigV4 para Amazon S3 y MediaPackage v2 y los tokens de AWS Secrets Manager acceso para la autenticación de la ubicación de origen.
Para obtener más información, seleccione el tema correspondiente.
**Topics**
+ [Autenticación de solicitudes a Amazon S3 con SigV4](channel-assembly-access-configuration-sigv4.md)
+ [Trabajando con SiGv4 para la versión 2 MediaPackage](channel-assembly-access-configuration-sigv4-empv2.md)
+ [AWS Secrets Manager Funciona con la autenticación mediante token de acceso](channel-assembly-access-configuration-access-token.md)
# Autenticación de solicitudes a Amazon S3 con SigV4
La versión 4 de la firma (SigV4) para Amazon S3 es un protocolo de firma que se utiliza para autenticar las solicitudes a Amazon S3 a través de HTTPS. Cuando utiliza SigV4 para Amazon S3, MediaTailor incluye un encabezado de autorización firmado en la solicitud HTTPS al bucket de Amazon S3 utilizado como origen. Si el encabezado de autorización firmado es válido, tu origen tramita la solicitud. Si no es válido, se produce un error en la solicitud.
Para obtener información general sobre SigV4 para AWS Key Management Service, consulte el tema [Autenticación de solicitudes (AWS firma versión 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) en la referencia de la *API de Amazon S3*.
**nota**
MediaTailor siempre firma las solicitudes que llegan a estos orígenes con SigV4.
## Requisitos
Si activa la autenticación SigV4 para Amazon S3 en su ubicación de origen, debe cumplir los siguientes requisitos:
+ Debe permitir el acceso MediaTailor a su bucket de Amazon S3 concediendo a **mediatailor.amazonaws.com** el acceso principal en IAM. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)
+ El director del servicio **mediatailor.amazonaws.com** debe tener permisos para leer todas las listas de reproducción multivariantes a las que hacen referencia las configuraciones del paquete fuente de VOD.
+ La persona que llama a la API debe tener permisos **s3: GetObject** IAM para leer todas las listas de reproducción multivariantes a las que hacen referencia las configuraciones del paquete fuente de VOD. MediaTailor
+ La URL base de la ubicación de MediaTailor origen debe seguir el formato de URL de solicitud tipo alojamiento virtual de Amazon S3. Por ejemplo, https://.s3. *bucket-name* *Region*.amazonaws.com/. *key-name* Para obtener información sobre el acceso de estilo virtual alojado en Amazon S3, consulte Solicitudes de estilo [virtual alojado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access).
# Trabajando con SiGv4 para la versión 2 MediaPackage
La versión 4 de Signature (SigV4) para la versión MediaPackage 2 es un protocolo de firma que se utiliza para autenticar las solicitudes enviadas a la versión 2 a través de HTTP MediaPackage . Cuando utilizas SigV4 para la versión MediaPackage 2, MediaTailor incluye un encabezado de autorización firmado en la solicitud HTTP al punto final de la MediaPackage versión 2 que se utiliza como origen. Si el encabezado de autorización firmado es válido, tu origen tramita la solicitud. Si no es válido, se produce un error en la solicitud.
Para obtener información general sobre SigV4 para la versión MediaPackage 2, consulta el tema Cómo [autenticar las solicitudes (AWS firma, versión 4)](https://docs.aws.amazon.com/mediapackage/latest/userguide/sig-v4-authenticating-requests.html) en la referencia de la *API de la versión MediaPackage 2*.
## Requisitos
Si activas la autenticación SigV4 para la MediaPackage versión 2 en tu ubicación de origen, debes cumplir estos requisitos:
+ Debes permitir el acceso MediaTailor a tu punto de enlace de la MediaPackage versión 2 concediendo a **mediatailor.amazonaws.com** el acceso principal en una política de acceso de Origin al punto de conexión.
+ La URL base de tu ubicación MediaTailor de origen debe ser un punto de enlace de la versión 2. MediaPackage
+ La persona que llama a la API debe tener permisos de **mediapackagev2: GetObject** IAM para leer todas las listas de reproducción multivariantes a las que hacen referencia las configuraciones del paquete de origen. MediaTailor
# AWS Secrets Manager Funciona con la autenticación mediante token de acceso
MediaTailor admite la *autenticación con token de acceso de Secrets Manager*. Con la autenticación mediante token de AWS Secrets Manager acceso, MediaTailor utiliza una AWS Key Management Service (AWS KMS) clave administrada por el cliente y un AWS Secrets Manager secreto que usted crea, posee y administra para autenticar las solicitudes que llegan a su origen.
En esta sección, explicamos cómo funciona la autenticación del token de acceso de Secrets Manager y proporcionamos step-by-step información sobre cómo configurar la autenticación del token de acceso de Secrets Manager. Puede trabajar con la autenticación mediante token de acceso de Secrets Manager en Consola de administración de AWS o mediante programación. AWS APIs
**Topics**
+ [Configurar la autenticación con token de AWS Secrets Manager acceso](channel-assembly-access-configuration-access-configuring.md)
+ [Integración con MediaPackage puntos finales que utilizan la autorización de CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [Cómo funciona la autenticación mediante token de acceso a MediaTailor Secrets Manager](channel-assembly-access-configuration-overview.md)
# Configurar la autenticación con token de AWS Secrets Manager acceso
Cuando desee utilizar la autenticación con token de AWS Secrets Manager acceso, lleve a cabo los siguientes pasos:
1. Usted [crea una clave gestionada por el AWS Key Management Service cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. [Creas un AWS Secrets Manager secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). El secreto contiene tu token de acceso, que se almacena en Secrets Manager como un valor secreto cifrado. MediaTailor utiliza la clave gestionada por el AWS KMS cliente para descifrar el valor secreto.
1. Se configura una ubicación de AWS Elemental MediaTailor origen para usar la autenticación por token de acceso de Secrets Manager.
En la siguiente sección, se proporcionan step-by-step instrucciones sobre cómo configurar la autenticación por token de AWS Secrets Manager acceso.
**Topics**
+ [Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Paso 2: Crea un AWS Secrets Manager secreto](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Paso 3: Configurar una ubicación de MediaTailor origen con la autenticación del token de acceso](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente
Se utiliza AWS Secrets Manager para almacenar el token de acceso en forma de un token `SecretString` almacenado en secreto. `SecretString`Se cifra mediante el uso de una *clave AWS KMS simétrica administrada por el cliente* que usted crea, posee y administra. MediaTailor utiliza la clave simétrica gestionada por el cliente para facilitar el acceso al secreto mediante una concesión y para cifrar y descifrar el valor secreto.
Las claves administradas por el cliente le permiten realizar tareas como las siguientes:
+ Establecer y mantener políticas de claves
+ Establecer y mantener concesiones y políticas de IAM
+ Habilitar y deshabilitar políticas de claves
+ Material de clave criptográfica rotativa
+ Adición de etiquetas de
Para obtener información sobre cómo se usa Secrets Manager AWS KMS para proteger los secretos, consulte el tema [Cómo se AWS Secrets Manager usa AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) en la *Guía para AWS Key Management Service desarrolladores*.
Para obtener más información acerca de las claves administradas por el cliente, consulte [Claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la *Guía para desarrolladores de AWS Key Management Service *.
**nota**
AWS KMS Se aplican cargos por el uso de una clave administrada por el cliente. Para obtener más información sobre los precios, consulte la página de [AWS Key Management Service precios](https://aws.amazon.com/kms/pricing/).
Puede crear una clave AWS KMS simétrica gestionada por el cliente mediante Consola de administración de AWS o mediante programación con. AWS KMS APIs
### Para crear una clave simétrica administrada por el cliente
*Siga los pasos para [crear una clave simétrica gestionada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) en la Guía para desarrolladores.AWS Key Management Service *
Anote la clave Amazon Resource Name (ARN); la necesitará introducir. [Paso 2: Crea un AWS Secrets Manager secreto](#channel-assembly-access-configuration-access-token-how-to-create-secret)
### Contexto de cifrado
Un *contexto de cifrado* es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.
Secrets Manager incluye un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) al cifrar y descifrar el. `SecretString` El contexto de cifrado incluye el ARN secreto, que limita el cifrado a ese secreto específico. Como medida de seguridad adicional, MediaTailor crea una AWS KMS subvención en tu nombre. MediaTailor aplica una [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operación que solo nos permite *descifrar el ARN* `SecretString` asociado al secreto contenido en el contexto de cifrado de Secrets Manager.
Para obtener información sobre cómo Secrets Manager utiliza el contexto de cifrado, consulte el tema [Contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) en la *Guía para AWS Key Management Service desarrolladores*.
### Establecer la política de claves
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Al crear la clave gestionada por el cliente, puede utilizar la política de claves predeterminada. Para obtener más información, consulte [Autenticación y control de acceso para AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) en la *guía del desarrollador de AWS Key Management Service *.
Para utilizar la clave gestionada por el cliente con los recursos de la ubicación de MediaTailor origen, debe dar permiso al director de IAM que realice la llamada [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)o [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)utilizar las siguientes operaciones de API:
+ `kms:CreateGrant`— Añade una concesión a una clave gestionada por el cliente. MediaTailor crea una concesión en la clave gestionada por el cliente que le permite utilizar la clave para crear o actualizar una ubicación de origen configurada con autenticación mediante token de acceso. Para obtener más información sobre el uso de [Grants en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la *Guía para AWS Key Management Service desarrolladores.*
Esto permite MediaTailor hacer lo siguiente:
+ Llama `Decrypt` para que pueda recuperar correctamente tu secreto de Secrets Manager cuando te llame [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Llama `RetireGrant` para retirar la concesión cuando se elimine la ubicación de origen o cuando se haya revocado el acceso al secreto.
El siguiente es un ejemplo de declaración de política que puede añadir para MediaTailor:
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
Para obtener más información sobre la especificación de los permisos en una política y la solución de problemas de acceso a las claves, consulte [AWS KMS Concesiones en](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) la *Guía para AWS Key Management Service desarrolladores*.
## Paso 2: Crea un AWS Secrets Manager secreto
Usa Secrets Manager para almacenar tu token de acceso en forma de cifrado mediante una `SecretString` clave gestionada por el AWS KMS cliente. MediaTailorutiliza la clave para descifrar el`SecretString`. Para obtener información sobre cómo se usa Secrets Manager AWS KMS para proteger los secretos, consulte el tema [Cómo se AWS Secrets Manager usa AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) en la *Guía para AWS Key Management Service desarrolladores*.
Si utilizas la ubicación de origen AWS Elemental MediaPackage como origen y quieres usar la autenticación con token de acceso de MediaTailor Secrets Manager, sigue el procedimiento[Integración con MediaPackage puntos finales que utilizan la autorización de CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Puede crear un secreto de Secrets Manager utilizando Consola de administración de AWS o programáticamente con Secrets Manager. APIs
### Creación de un secreto
Siga los pasos para [crear y administrar secretos que se indican AWS Secrets Manager en la](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) Guía del *AWS Secrets Manager usuario*.
Ten en cuenta las siguientes consideraciones a la hora de crear tu secreto:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Debe ser el [ARN clave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) de la clave gestionada por el cliente que creó en el paso 1.
+ Debe proporcionar un [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Debe ser un objeto JSON válido que incluya una clave y un valor que contengan el token de acceso. Por ejemplo, \$1» MyAccessTokenIdentifier «:"112233445566"\$1. El valor debe tener entre 8 y 128 caracteres.
Al configurar la ubicación de origen con la autenticación por token de acceso, se especifica la `SecretString` clave. MediaTailor utiliza la clave para buscar y recuperar el token de acceso almacenado en`SecretString`.
Anote el ARN secreto y la `SecretString` clave. Los usará cuando configure la ubicación de origen para usar la autenticación con token de acceso.
### Adjuntar una política secreta basada en recursos
Para permitir el MediaTailor acceso al valor secreto, debe adjuntar al secreto una política basada en recursos. Para obtener más información, consulte [Adjuntar una política de permisos a un secreto de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) en la *Guía del AWS Secrets Manager usuario*.
El siguiente es un ejemplo de declaración de política que puede añadir para MediaTailor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Paso 3: Configurar una ubicación de MediaTailor origen con la autenticación del token de acceso
Puede configurar la autenticación del token de acceso de Secrets Manager mediante el Consola de administración de AWS o mediante programación con el. MediaTailor APIs
**Para configurar una ubicación de origen con la autenticación mediante token de acceso a Secrets Manager**
Siga los pasos que se indican [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) en la *Guía AWS Elemental MediaTailor del usuario*.
# Integración con MediaPackage puntos finales que utilizan la autorización de CDN
Si la utiliza AWS Elemental MediaPackage como ubicación de origen, MediaTailor puede integrarla con MediaPackage puntos finales que utilizan la autorización de la CDN.
Para realizar la integración con un MediaPackage punto final que utilice la autorización de la CDN, utilice el siguiente procedimiento.
**Para integrarse con MediaPackage**
1. Complete los pasos de [Configuración de la autorización de CDN](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html) en la *Guía del AWS Elemental MediaPackage usuario*, si aún no lo ha hecho.
1. Complete el procedimiento indicado en [Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
1. Modifique el secreto que creó al configurar la autorización de MediaPackage CDN. Modifica el secreto con los siguientes valores:
+ `KmsKeyId`Actualícelo con el ARN de clave gestionado por el cliente que creó en. [Paso 1: Crear una clave AWS KMS simétrica gestionada por el cliente](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ (Opcional) Para el`SecretString`, puedes rotar el UUID a un nuevo valor o puedes usar el secreto cifrado existente siempre que sea un par de clave y valor en un formato JSON estándar, por ejemplo. `{"MediaPackageCDNIdentifier": "112233445566778899"}`
1. Realice los pasos que se indican en [Adjuntar una política secreta basada en recursos](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy).
1. Realice los pasos que se indican en [Paso 3: Configurar una ubicación de MediaTailor origen con la autenticación del token de acceso](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth).
# Cómo funciona la autenticación mediante token de acceso a MediaTailor Secrets Manager
Después de crear o actualizar una ubicación de origen para usar la autenticación con token de acceso, MediaTailor incluya el token de acceso en un encabezado HTTP cuando solicite los manifiestos del contenido fuente de su origen.
A continuación, se muestra un resumen de cómo se MediaTailor utiliza la autenticación por token de acceso de Secrets Manager para la autenticación del origen de la ubicación de origen:
1. Al crear o actualizar una ubicación de MediaTailor origen que utiliza la autenticación por token de acceso, MediaTailor envía una [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId)solicitud a Secrets Manager para determinar la AWS KMS clave asociada al secreto. Incluye el ARN secreto en la configuración de acceso a la ubicación de origen.
1. MediaTailor crea una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para la clave gestionada por el cliente, de forma que MediaTailor pueda utilizarla para acceder y descifrar el token de acceso almacenado en. SecretString El nombre de la concesión será. `MediaTailor-SourceLocation-your Cuenta de AWS ID-source location name`
Puedes revocar el acceso a la concesión o eliminar el acceso a MediaTailor la clave gestionada por el cliente en cualquier momento. Para obtener más información, consulta [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) en la *AWS Key Management Service Referencia de la API de *.
1. Cuando se crea, actualiza o utiliza una fuente de VOD en un programa, MediaTailor realiza solicitudes HTTP a las ubicaciones de origen para recuperar los manifiestos del contenido fuente asociados a las fuentes de VOD de la ubicación de origen. Si la fuente de VOD está asociada a una ubicación de origen que tiene un token de acceso configurado, las solicitudes incluyen el token de acceso como valor de encabezado HTTP.