Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement SPEKE dans AWS Elemental MediaConnect
[Vous pouvez utiliser le Secure Packager and Encoder Key Exchange (SPEKE) avec AWS Elemental MediaConnect pour chiffrer un droit.](entitlements.md) Cela vous permet, en tant qu'auteur du contenu, de contrôler totalement les autorisations associées à ce contenu. Cette utilisation est une personnalisation de l'architecture basée sur le cloud SPEKE décrite dans la documentation [SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/what-is.html#services-architecture).
**Topics**
+ [Gestion des clés pour SPEKE](encryption-speke-key-management.md)
+ [Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect](encryption-speke-set-up.md)
# Gestion des clés pour SPEKE
Avec une implémentation SPEKE, un système d'accès conditionnel (CA) fournit des clés à AWS MediaConnect Elemental pour le chiffrement et le déchiffrement du contenu. API Gateway agit comme un proxy pour la communication entre le service et le fournisseur de clés de la plate-forme CA. Chaque MediaConnect flux AWS Elemental doit résider dans la même AWS région que son proxy API Gateway.
L'illustration suivante montre comment AWS Elemental MediaConnect obtient la clé de chiffrement ou de déchiffrement à l'aide de SPEKE. Dans le flux de l'expéditeur, le service obtient la clé de chiffrement et l'utilise pour chiffrer le contenu avant de l'envoyer via l'autorisation. Dans le flux d'abonnés, le service obtient la clé de déchiffrement lorsque le contenu est reçu de la part de l'autorisation.
![\[La figure montre un AWS compte doté d'un MediaConnect flux AWS Elemental et d'une instance d'API Gateway dans la même AWS région. Une flèche indique qu'AWS Elemental MediaConnect envoie une demande pour la clé de chiffrement. La demande est envoyée au fournisseur de clés de la plateforme CA via API Gateway. Une deuxième flèche indique que le fournisseur de clés renvoie la clé de chiffrement via API Gateway.\]](http://docs.aws.amazon.com/fr_fr/mediaconnect/latest/ug/images/speke-encryption.png)
Voici les principaux services et composants :
+ **AWS Elemental MediaConnect** — Fournit et contrôle la configuration du chiffrement pour le flux. AWS Elemental MediaConnect obtient les clés de chiffrement auprès du fournisseur de clés de la plateforme CA via Amazon API Gateway. À l'aide des clés de chiffrement, AWS Elemental MediaConnect chiffre le contenu (pour le flux de l'expéditeur) ou le déchiffre (pour le flux de l'abonné).
+ **API Gateway** : gère les rôles fiables des clients et les communications par proxy entre le crypteur et le fournisseur de clés. API Gateway fournit des fonctionnalités de journalisation et permet aux clients de contrôler leurs relations avec le chiffreur et avec la plateforme CA. L'API Gateway doit résider dans la même AWS région que le crypteur.
+ **Fournisseur de clés de plate-forme CA** : fournit des clés de chiffrement et de déchiffrement à AWS MediaConnect Elemental via une API compatible Speke.
Pour de plus amples informations, veuillez consulter [Configuration du chiffrement SPEKE](encryption-speke-set-up.md).
# Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect
Avant de pouvoir octroyer un droit utilisant le chiffrement SPEKE, vous devez effectuer les étapes suivantes :
**[Étape 1. ](#encryption-speke-set-up-on-board-key-provider)** — Adhérez à un fournisseur de clés de plateforme d'accès conditionnel (CA) qui gérera votre clé de chiffrement. Au cours de ce processus, vous créez une API dans Amazon API Gateway qui envoie des demandes au nom d'AWS Elemental MediaConnect au fournisseur clé.
**[Étape 2](#encryption-speke-set-up-create-iam-policy)** — Créez une politique IAM qui permet à l'API que vous avez créée à l'étape 1 d'agir en tant que proxy pour envoyer des demandes au fournisseur de clés.
**[Étape 3.](#encryption-speke-set-up-create-iam-role)** — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental en MediaConnect tant qu'entité de confiance autorisée à assumer ce rôle et à accéder au point de terminaison API Gateway en votre nom.
## Étape 1 : Adhérez à un fournisseur CA
Pour utiliser SPEKE avec AWS MediaConnect Elemental, vous devez disposer d'un fournisseur de clés de plate-forme CA. Les AWS partenaires suivants fournissent des solutions d'accès conditionnel (CA) pour la MediaConnect personnalisation de SPEKE :
+ [Verimatrix](https://aws.amazon.com/partners/find/partnerdetails/?n=Verimatrix&id=001E000000be2SEIAY)
Si vous êtes à l'origine de contenu, contactez votre fournisseur de clés de plate-forme CA pour obtenir de l'aide concernant le processus d'intégration. Avec l'aide de votre fournisseur clé de plate-forme CA, vous gérez qui a accès à quel contenu.
Pendant le processus d'intégration, prenez note des points suivants :
+ **ARN de la demande de `POST` méthode** : nom de ressource Amazon (ARN) AWS attribué à la demande que vous créez dans API Gateway.
+ **Vecteur d'initialisation constant (facultatif)** : valeur hexadécimale de 128 bits et 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour chiffrer le contenu.
+ **ID de l'appareil** : identifiant unique pour chaque appareil que vous configurez avec le fournisseur de clés. Chaque appareil représente un destinataire différent pour votre contenu.
+ **ID de ressource** : identifiant unique que vous créez pour chaque élément de contenu que vous configurez avec le fournisseur de clés.
+ **URL** : URL attribuée par AWS l'API que vous créez dans Amazon API Gateway.
Vous aurez besoin de ces valeurs ultérieurement, lorsque vous configurerez le [droit](entitlements-grant.md) dans MediaConnect.
## Étape 2 : créer une politique IAM pour autoriser API Gateway à agir en tant que proxy
À [l'étape 1](#encryption-speke-set-up-on-board-key-provider), vous avez travaillé avec un fournisseur de clés de plate-forme CA qui gère votre clé de chiffrement. Au cours de cette étape, vous créez une politique IAM qui permet à API Gateway de faire des demandes en votre nom. API Gateway agit comme un proxy pour la communication entre votre compte et le fournisseur clé.
**Pour créer une politique IAM pour un proxy API Gateway**
1. Dans le volet de navigation de la console IAM, choisissez **Stratégies**.
1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.
1. Entrez une politique qui utilise le format suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"execute-api:Invoke"
],
"Resource": [
"arn:aws:execute-api:us-west-2:111122223333:1abcdefghi/*/POST/*"
]
}
]
}
```
------
Dans `Resource` cette section, remplacez l'exemple Amazon Resource Name (ARN) par l'ARN de la demande de `POST` méthode que vous avez créée dans API Gateway avec le fournisseur de clés de la plateforme CA.
1. Choisissez **Examiner une politique**.
1. Pour **Nom**, saisissez **APIGateway-Proxy-Access**.
1. Sélectionnez **Create policy** (Créer une politique).
## Étape 3 : créer un rôle IAM avec une relation de confiance
À [l'étape 2](#encryption-speke-set-up-create-iam-policy), vous avez créé une politique **APIGateway-Proxy-Access** qui permet à API Gateway d'agir en tant que proxy et de faire des demandes en votre nom. Au cours de cette étape, vous créez un rôle IAM et associez les autorisations suivantes :
+ La politique **APIGateway-Proxy-Access** permet à Amazon API Gateway d'agir en tant que proxy en votre nom afin de pouvoir effectuer des demandes entre votre compte et le fournisseur de clés de la plate-forme CA. Il s'agit de la politique que vous avez créée à l'étape 1.
+ Une politique de **relation de confiance** permet à AWS Elemental MediaConnect d'assumer le rôle en votre nom. Vous allez créer cette politique dans le cadre de la procédure suivante.
**Pour créer un rôle IAM avec une relation de confiance**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôle**, choisissez **Créer un rôle**.
1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).
1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**.
Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.
1. Choisissez **Suivant : Autorisations**.
1. Pour les **politiques de filtrage**, choisissez Gestion **par le client**.
1. Cochez la case à côté de **APIGateway-Proxy-Access**, puis choisissez **Next** : Tags.
1. Entrez les valeurs des balises (facultatif), puis choisissez **Next : Review**.
1. Pour **Nom du rôle**, entrez un nom tel que**SpekeAccess**.
1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, **Allows AWS Elemental MediaConnect to talk to API Gateway on my behalf.**
1. Choisissez **Créer un rôle**.
1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.
1. Choisissez **Relations de confiance**, puis sélectionnez **Modifier la relation de confiance**.
1. Pour **le document de stratégie**, modifiez la politique pour qu'elle ressemble à ceci :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Mettre à jour la politique d'approbation**.
1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/SpekeAccess`.