Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de votre réseau pour les réunions du SDK Amazon Chime
Lorsque vous intégrez le SDK Amazon Chime dans votre application cliente, le SDK se connecte à son service principal pour envoyer et recevoir des messages audio, vidéo, de partage de contenu et de données. Si le réseau de vos utilisateurs bloque le trafic vers le service Amazon Chime SDK, leur capacité à utiliser le service sera réduite. Les administrateurs réseau peuvent utiliser ces informations pour reconfigurer leur réseau afin d'autoriser l'accès au service Amazon Chime SDK.
**Note**
Lorsque vous configurez votre réseau, vous devez activer les mécanismes d'extension pour le DNS (EDNS0) par défaut. Cela permet à votre application d'accéder aux services du SDK Amazon Chime en garantissant que les informations sur l'hôte sont de la bonne taille pour les paquets UDP.
**Topics**
+ [Configuration pour les médias et la signalisation](#media-signaling)
+ [Configuration pour Amazon Voice Focus](#voice-focus-config)
+ [Configuration pour la réduction de l'écho](#echo-reduction)
+ [Configuration pour le remplacement de l'arrière-plan et le flou](#config-blur)
+ [Configuration des politiques de sécurité du contenu du navigateur](#configure-browser-policy)
+ [Utilisation AppKeys et location IDs du SDK Amazon Chime](app-keys-tenant-ids.md)
## Configuration pour les médias et la signalisation
Le contenu audio, vidéo et audio du SDK Amazon Chime utilise le transport UDP (User Datagram Protocol) dans la mesure du possible. Si le protocole UDP est bloqué, le SDK Amazon Chime essaie d'établir une connexion TLS (Transport Layer Security) pour le transport bidirectionnel des médias. La signalisation et les messages de données du SDK Amazon Chime utilisent le protocole TCP (Transmission Control Protocol) et les connexions. WebSocket
Le schéma suivant montre un réseau typique avec une application qui exécute le SDK Amazon Chime.
![\[Réseau configuré pour exécuter une application Amazon Chime SDK, avec communication bidirectionnelle entre le SDK et une réunion.\]](http://docs.aws.amazon.com/fr_fr/chime-sdk/latest/dg/images/net-config-diagram.png)
Le SDK Amazon Chime utilise les destinations et les ports suivants pour les médias et la signalisation.
| Domaine | IPv4 Sous-réseau | IPv6 Sous-réseau | Ports |
| --- | --- | --- | --- |
| \$1.chime.aws | 99.77.128.0/18 | 2600:f0f 0:4100 : :/40 | TCP:443 UDP:3478 |
Ce sous-réseau est le `CHIME_MEETINGS` service figurant dans les [plages d'adresses AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html).
## Configuration pour Amazon Voice Focus
Les bibliothèques clientes du SDK Amazon Chime pour iOS et Android incluent le module Amazon Voice Focus. La bibliothèque cliente du SDK Amazon Chime permet de télécharger JavaScript le module Amazon Voice Focus d'Amazon. CloudFront La bibliothèque cliente du SDK Amazon Chime pour Windows ne prend pas en charge Voice Focus.
Amazon Voice Focus utilise les destinations et les ports suivants.
| Domaine | Ports |
| --- | --- |
| \$1.sdkassets.chime.aws | TCP:443 |
Ce sous-réseau est le `CLOUDFRONT` service figurant dans les [plages d'adresses AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html).
## Configuration pour la réduction de l'écho
La bibliothèque cliente du SDK Amazon Chime permet de JavaScript télécharger le module de réduction d'écho d'Amazon. CloudFront
La réduction de l'écho utilise les destinations et les ports suivants.
| Domaine | Ports |
| --- | --- |
| \$1.sdkassets.chime.aws | TCP:443 |
Ce sous-réseau est le `CLOUDFRONT` service figurant dans les [plages d'adresses AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html).
## Configuration pour le remplacement de l'arrière-plan et le flou
La bibliothèque cliente du SDK Amazon Chime permet de télécharger le module de remplacement JavaScript et de flou de l'arrière-plan d'Amazon. CloudFront
Le remplacement de l'arrière-plan et le flou utilisent les destinations et les ports suivants.
| Domaine | Ports |
| --- | --- |
| \$1.sdkassets.chime.aws | TCP:443 |
Ce sous-réseau est le `CLOUDFRONT` service figurant dans les [plages d'adresses AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html).
## Configuration des politiques de sécurité du contenu du navigateur
Lorsque vous créez une application avec la bibliothèque cliente du SDK Amazon Chime pour JavaScript, vous devez configurer les politiques de sécurité du contenu du navigateur dans votre application. Pour plus d'informations, consultez le [guide des politiques de sécurité du contenu](https://aws.github.io/amazon-chime-sdk-js/modules/contentsecurity_policy.html) sur GitHub.
# Utilisation AppKeys et location IDs du SDK Amazon Chime
Vous pouvez utiliser AppKeys and Tenant IDs pour limiter l'accès *depuis un réseau aux sessions* multimédia WebRTC du SDK Amazon Chime d'applications spécifiques.
Les développeurs utilisent le SDK Amazon Chime pour créer des applications qui envoient et reçoivent des vidéos en temps réel via UDP. Les utilisateurs de l'application ont besoin d'un accès UDP au [https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)sous-réseau. Organisations (propriétaires de réseaux) peuvent utiliser AppKeys and Tenant IDs pour limiter l'accès depuis leur réseau aux seules sessions multimédia WebRTC d'une application spécifique.
**Exemple 1 : utilisation AppKeys**
Si App-A et App-B utilisent le SDK Amazon Chime, une organisation peut autoriser App-A à accéder aux sessions multimédia WebRTC depuis son réseau, mais bloquer App-B et toute autre application utilisant le SDK Amazon Chime. Organisations peuvent le faire à l'aide d'App-A AppKey et d'un proxy HTTPS. Pour plus d'informations, reportez-vous à[Limiter l'accès à une application spécifique](#limit-app-access), plus loin dans cette rubrique.
**Exemple 2 : utilisation AppKeys et locataire IDs**
Si App-A est accessible au public et utilisé par de nombreux clients, une entreprise peut souhaiter autoriser App-A à accéder aux sessions multimédia WebRTC depuis son réseau uniquement lorsque ses utilisateurs font partie de la session, et bloquer l'accès à toutes les autres sessions App-A. Les organisations peuvent le faire en utilisant l'application AppKey, le TenantID de l'organisation et un proxy HTTPS. Pour plus d'informations, reportez-vous à[Limiter l'accès à un locataire spécifique](#limit-tenant-access), plus loin dans cette rubrique.
Pour utiliser AppKeys et TenantIDs, vous devez disposer d'un serveur proxy HTTPS qui permet d'ajouter des en-têtes HTTPS à une demande. Le schéma suivant montre le fonctionnement AppKeys et le IDs fonctionnement du locataire.
![\[Schéma montrant comment AppKeys et le locataire IDs contrôlent l'application et l'accès des locataires à une session WebRTC.\]](http://docs.aws.amazon.com/fr_fr/chime-sdk/latest/dg/images/app-key-diagram.png)
Dans l'image, App-A possède les locataires A-1 et A-2, et App-B possède les locataires B-1 et B-2. Dans ce cas, le AppKey seul autorise App-A à se connecter à la session multimédia WebRTC, et l'ID du locataire admet uniquement le locataire A-1 à la session.
**Topics**
+ [Limiter l'accès à une application spécifique](#limit-app-access)
+ [Limiter l'accès à un locataire spécifique](#limit-tenant-access)
+ [Exemples d'en-têtes HTTPS](#header-examples)
## Limiter l'accès à une application spécifique
An *AppKey*est une valeur de 256 bits unique et cohérente créée par Amazon Chime pour chaque compte. AWS Si vous n'en avez pas AppKey, vous pouvez en faire la demande auprès d'Amazon Support. Si vous avez plusieurs AWS comptes, vous pouvez demander un compte commun AppKey à tous vos comptes.
**Note**
Vous pouvez partager vos données AppKeys publiquement en toute sécurité et permettre à d'autres organisations de limiter l'accès depuis leurs réseaux.
Le SDK Amazon Chime associe automatiquement chaque session multimédia WebRTC à un compte en AppKey fonction de l'identifiant de AWS compte utilisé pour créer la session. Pour limiter l'accès *depuis votre réseau* à des applications spécifiques, procédez comme suit :
1. Acheminez toutes les demandes sortantes vers le `CHIME_MEETINGS` sous-réseau via un serveur proxy HTTPS.
1. Configurez le serveur proxy pour ajouter l'en-tête suivant à toutes les demandes sortantes adressées au `CHIME_MEETINGS` sous-réseau :
`X-Amzn-Chime-App-Keys:` *comma-separated list of allowed AppKeys*.
Autorise, par exemple, `X-Amzn-Chime-App-Keys:AppKey-A,AppKey-B,AppKey-C` les applications associées AppKeys à celles-ci à accéder au sous-réseau.
Le SDK Amazon Chime inspecte les connexions de session multimédia WebRTC entrantes pour détecter l'en-tête et applique la logique suivante : `X-Amzn-Chime-App-Keys`
1. Si l'`X-Amzn-Chime-App-Keys`en-tête est présent et inclut celui de la session AppKey, acceptez la connexion.
1. Si l'`X-Amzn-Chime-App-Keys`en-tête est présent mais n'inclut pas celui de la session AppKey, rejetez la connexion avec une erreur 403.
1. Si l'`X-Amzn-Chime-App-Keys`en-tête n'est pas présent, acceptez la connexion. Si les utilisateurs peuvent accéder à l'application depuis l'extérieur du réseau de l'organisation, ils peuvent également accéder à la session.
## Limiter l'accès à un locataire spécifique
Un *TenantID* est un identifiant opaque créé par les développeurs. N'oubliez pas ce qui suit à propos du locataire IDs :
+ IDs Il n'est pas garanti que les locataires soient uniques entre les applications. Vous devez donc en spécifier un AppKey pour chaque liste TenantID.
+ IDs Les locataires font la distinction majuscules/majuscules. Entrez-les exactement comme prescrit par le développeur.
+ Une organisation peut limiter l'accès à plusieurs applications, mais uniquement spécifier le locataire IDs pour certaines de ces applications. Les applications sans tenant IDs peuvent se connecter à toutes les sessions multimédia WebRTC.
Pour associer une session multimédia à TenantIDs, un développeur doit d'abord ajouter la `TenantIds` propriété et une liste de Tenant IDs à un [https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_meeting-chime_CreateMeeting.html](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_meeting-chime_CreateMeeting.html) ou [https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_meeting-chime_CreateMeetingWithAttendees.html](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_meeting-chime_CreateMeetingWithAttendees.html) de la demande.
Par exemple :
`CreateMeeting(..., TenantIds : [ tenantId1, tenantId2 ] )`
Pour limiter l'accès depuis le réseau d'une organisation à sa session multimédia WebRTC dans des applications spécifiques, procédez comme suit :
1. Suivez les étapes de [Limiter l'accès à une application spécifique](#limit-app-access).
1. Configurez le serveur proxy HTTPS pour ajouter un `X-Amzn-Chime-Tenants` en-tête sur les connexions sortantes. Incluez une liste de AppKeys et TenantIDs, délimités comme indiqué dans cet exemple : `X-Amzn-Chime-Tenants: AppKey-A:tenantId-A-1,tenantId-A-2;AppKey-B:tenantId-B-1,tenantId-B-2`
Le SDK Amazon Chime inspecte les connexions de session multimédia WebRTC entrantes pour détecter l'en-tête et applique la logique suivante : `X-Amzn-Chime-Tenants`
+ Si l'en-tête inclut ceux de la session`AppKey:tenantId`, acceptez la connexion.
+ Si l'en-tête inclut celui de la session `AppKey` mais ne correspond pas`tenantId`, rejetez la connexion avec une erreur 403.
+ Si l'en-tête n'inclut *pas* celui de la session`AppKey`, acceptez la connexion.
+ Si l'en-tête inclut ceux de la session`AppKey`, mais que celle-ci n'en a pas au moins une autorisée`tenantId`, rejetez la connexion avec une erreur 403. Il s'agit peut-être d'un bogue du développeur.
+ Si l'en-tête n'est pas présent, acceptez la connexion. Si les utilisateurs peuvent accéder à l'application depuis l'extérieur du réseau de l'organisation, ils peuvent également accéder à toutes les sessions.
## Exemples d'en-têtes HTTPS
Les exemples suivants montrent certaines des manières d'utiliser AppKeys et Tenant IDs dans les en-têtes HTTPS.
**Une application pour un seul locataire**
`X-Amzn-Chime-App-Keys: AppKey`
`X-Amzn-Chime-Tenants: AppKey:orgId`
Les utilisateurs ne peuvent accéder qu'aux sessions multimédia WebRTC de l'organisation dans l'application spécifiée. Toutes les autres applications sont bloquées.
**Une application avec deux locataires**
`X-Amzn-Chime-App-Keys: AppKey`
`X-Amzn-Chime-Tenants: AppKey:engineeringId,salesId`
Les utilisateurs peuvent accéder uniquement aux sessions multimédia pour l'ingénierie et les ventes dans l'application spécifiée. Toutes les autres applications sont bloquées.
**Deux applications, dont une limitée à un locataire**
`X-Amzn-Chime-App-Keys: AppKey1,AppKey2`
`X-Amzn-Chime-Tenants: AppKey1:orgId`
Les utilisateurs peuvent accéder uniquement aux sessions multimédia de l'organisation dans l'application 1, et à n'importe quelle session dans l'application 2. Toutes les autres applications sont bloquées.