Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement de contenu et DRM dans AWS Elemental MediaConvert
Protégez votre contenu d'une utilisation non autorisée grâce au chiffrement. Les systèmes de gestion des droits numériques (DRM) fournissent des clés AWS Elemental MediaConvert pour le chiffrement du contenu et des licences pour le déchiffrement aux joueurs pris en charge et aux autres consommateurs.
Les sections suivantes fournissent des conseils sur la manière de choisir et d'implémenter le chiffrement de contenu à l'aide de SPEKE for MediaConvert.
**Topics**
+ [Support des conteneurs et des systèmes DRM avec SPEKE](encryption-choosing-speke-version.md)
+ [Déploiement de SPEKE](encryption-deploying-speke.md)
+ [Paramètres de chiffrement SPEKE](speke-encryption-parameters.md)
+ [Préréglages SPEKE v2.0](drm-content-speke-v2-presets.md)
+ [Utilisation de clés de contenu chiffrées avec DRM](drm-content-key-encryption.md)
+ [Résolution des problèmes de chiffrement DRM](troubleshooting-encryption.md)
+ [Exigences](encryption-requirements.md)
# Support des conteneurs et des systèmes DRM avec SPEKE
MediaConvert supporte à la fois [SPEKE version 1.0](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api.html) et [SPEKE version 2.0](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api-v2.html). Pour plus d'informations, consultez le [guide du partenaire et du client SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/speke-api-specification.html).
**SPEKE v1.0 Conteneurs et systèmes DRM pris en charge**
Le tableau suivant répertorie les différents conteneurs et systèmes de gestion des droits numériques (DRM) pris en charge par SPEKE version 1.0.
**Prise en charge des DRM SPEKE v1.0**
| | | | |
| --- |--- |--- |--- |
| Type de groupe de sortie | Fairplay d'Apple | Google Widevine | Microsoft PlayReady |
| DASH | Non pris en charge | Pris en charge | Pris en charge |
| Apple HLS | Pris en charge | Non pris en charge | Non pris en charge |
| Microsoft Smooth | Non pris en charge | Non pris en charge | Pris en charge |
| CMAF DASH et CMAF HLS | Pris en charge | Pris en charge | Pris en charge |
**SPEKE v2.0 Conteneurs et systèmes DRM pris en charge**
Le tableau suivant répertorie les différents conteneurs et systèmes de gestion des droits numériques (DRM) pris en charge par SPEKE version 2.0.
**Prise en charge des DRM SPEKE v2.0**
| | | | |
| --- |--- |--- |--- |
| Type de groupe de sortie | Fairplay d'Apple | Google Widevine | Microsoft PlayReady |
| DASH | Non pris en charge | Pris en charge | Pris en charge |
| Apple HLS | Pris en charge (Sample-AES) | Pris en charge | Pris en charge |
| Microsoft Smooth | Non pris en charge | Non pris en charge | Non pris en charge |
| CMAF DASH et CMAF HLS | Pris en charge (CBCS) | Supporté (CBCSetCENC) | Supporté (CBCSetCENC) |
**Système DRM pris en charge IDs**
Le tableau suivant répertorie les différents [systèmes](https://dashif.org/identifiers/content_protection/) DRM pris MediaConvert en IDs charge.
| | | | |
| --- |--- |--- |--- |
| Système IDs — Matrice de support pour le système DRM | Pomme FairPlay | Google Widevine | Microsoft PlayReady |
| ID du système | 94ce86fb-07ff-4f43-adb8-93d2fa968ca2 | edef8ba9-79d6-4ace-a3c8-27dcd51d21ed | 9a04f079-9840-4286-ab92-e65be0885f95 |
# Déploiement de SPEKE
Votre fournisseur de système de gestion des droits numériques (DRM) peut vous aider à configurer l'utilisation du chiffrement DRM dans. MediaConvert En général, le fournisseur vous fournit une passerelle SPEKE à déployer Compte AWS dans votre environnement Région AWS MediaConvert d'exécution.
Si vous devez créer votre propre API Gateway pour vous connecter MediaConvert à votre service clé, vous pouvez utiliser le [serveur de référence SPEKE](https://github.com/awslabs/speke-reference-server) disponible sur GitHub comme point de départ.
# Paramètres de chiffrement SPEKE
Lorsque vous demandez le chiffrement, vous fournissez des paramètres d'entrée qui permettent au service de localiser le serveur de clés de votre fournisseur de solution DRM, de vous authentifier en tant qu'utilisateur et de demander les clés d'encodage adéquates. Certaines options ne sont disponibles que pour des groupes de sortie particuliers.
Saisissez les paramètres de chiffrement SPEKE comme suit :
+ Pour **ID de ressource**, entrez un identifiant pour le contenu. Le service l'envoie au serveur de clés pour identifier le point de terminaison actuel. Le degré d'originalité de ce système dépend de la précision avec laquelle vous souhaitez que les contrôles d'accès soient précis. Le service ne vous permet pas d'utiliser le même identifiant pour deux processus de chiffrement simultanés. L'ID de ressource est également appelé ID de contenu.
L'exemple suivant montre un ID de ressource.
```
MovieNight20171126093045
```
+ Pour **System ID (ID système)**, entrez des identifiants uniques pour votre protocole de streaming et votre système DRM. Le nombre de systèmes IDs que vous pouvez spécifier varie en fonction du type de groupe de sortie :
+ CMAF — Pour le **système IDs signalé en DASH**, spécifiez au moins un et jusqu'à trois. IDs Pour **System ID signaled in HLS (ID système signalé dans HLS)**, spécifiez un ID.
+ DASH — Pour l'**ID système**, spécifiez au moins un et jusqu'à deux IDs.
+ Apple HLS — Pour l'**ID système**, spécifiez un identifiant.
Si vous indiquez plusieurs ID système dans un seul champ, saisissez-les sur des lignes distinctes et ne les séparez pas par des virgules ou tout autre signe de ponctuation.
Pour une liste des systèmes courants IDs, voir Système [DASH-IF](https://dashif.org/identifiers/content_protection/). IDs Si vous ne les connaissez pas IDs, demandez-les à votre fournisseur de solutions DRM.
+ Pour **URL**, entrez l'URL du proxy API Gateway que vous avez configuré pour communiquer avec votre serveur de clés. Le proxy API Gateway doit résider dans le même emplacement Région AWS que MediaConvert.
L'exemple suivant montre une URL.
```
https://1wm2dx1f33.execute-api.us-west-2.amazonaws.com/SpekeSample/copyProtection
```
+ (Facultatif) Pour l'**ARN du certificat**, entrez un ARN de certificat RSA 2048 à utiliser pour le chiffrement de la clé de contenu. N'utilisez cette option que si votre fournisseur de clés DRM prend en charge le chiffrement de clés de contenu. Si vous l'utilisez alors que votre fournisseur de clés ne prend pas en charge cette fonctionnalité, la demande échoue.
Pour saisir un ARN de certificat ici, vous devez avoir déjà importé le certificat correspondant AWS Certificate Manager, saisi l'ARN du certificat d'ACM dans le volet MediaConvert **Certificats** et l'avoir associé MediaConvert à. Pour de plus amples informations, veuillez consulter [Utilisation de clés de contenu chiffrées avec DRM](drm-content-key-encryption.md).
L'exemple ci-dessous présente l'ARN d'un certificat.
```
arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e
```
**Pour chiffrer du contenu à l'aide de SPEKE v1.0 à l'aide de la console : MediaConvert**
1. Configurez votre tâche de transcodage comme d'habitude. Pour de plus amples informations, veuillez consulter [Tutoriel : Configuration des paramètres des tâches](setting-up-a-job.md).
1. Sur la page **Créer une tâche**, dans le volet **Job** de gauche, sous **Groupes de sortie**, choisissez un groupe de sortie pour lequel vous souhaitez activer le chiffrement.
1. Activez le **DRM encryption (Chiffrement DRM)**.
1. Pour les groupes de sorties **CMAF** et **Apple HLS**, choisissez la méthode de chiffrement. Veillez à choisir une méthode de chiffrement qui fonctionne avec le système DRM que vous utilisez.
Pour les groupes de sortie **DASH ISO** et **MS Smooth**, vous ne spécifiez pas la méthode de chiffrement. MediaConvert utilise toujours le chiffrement AES-CTR (AES-128) avec ces groupes de sortie.
1. Pour les groupes de sorties **CMAF** et **Apple HLS**, choisissez la source de la clé de chiffrement de contenu. Pour **Key provider type (Type de fournisseur de clé)**, choisissez **SPEKE** pour chiffrer à l'aide d'une clé fournie par votre fournisseur de solution DRM ou choisissez **Static key (Clé statique)** pour entrer votre propre clé.
Pour les groupes de sorties **DASH ISO** et **MS Smooth**, vous ne spécifiez pas la source pour la clé de chiffrement de contenu. Avec ces groupes de sortie, MediaConvert utilise les DRM uniquement avec un fournisseur de clés compatible Speke.
+ Pour **SPEKE**, renseignez les champs de paramètre de chiffrement.
+ Pour **Static Key**, voir [Paramètres de chiffrement par clé statique](#static-key-encryption-parameters) ci-dessous.
## Options de configuration supplémentaires pour Apple HLS et CMAF
+ (Facultatif) Pour le **vecteur d'initialisation constante**, entrez une valeur hexadécimale de 128 bits et 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour chiffrer le contenu.
## Paramètres de chiffrement par clé statique
Les options suivantes sont destinées au chiffrement des clés statiques :
+ **Valeur de clé statique** : chaîne valide pour le chiffrement du contenu.
+ **URL** : URL à inclure dans le manifeste afin que les appareils des joueurs puissent déchiffrer le contenu.
# Préréglages SPEKE v2.0
La version 2.0 de SPEKE prend en charge l'utilisation de plusieurs clés de chiffrement distinctes pour les pistes audio et vidéo. MediaConvert utilise des **préréglages** pour configurer le chiffrement. L' MediaConvert API définit ces préréglages. Les préréglages associent les clés de chiffrement à des pistes audio ou vidéo spécifiques, en fonction du nombre de canaux pour les pistes audio et de la résolution vidéo pour les pistes vidéo. MediaConvert utilise des combinaisons spécifiques de préréglages de chiffrement audio et vidéo pour prendre en charge trois scénarios de chiffrement différents :
+ [Scénario 1 : pistes non chiffrées et pistes cryptées](#drm-content-speke-v2-presets-unencrypted-and-encrypted-tracks)
+ [Scénario 2 : clé de chiffrement unique pour toutes les pistes audio et vidéo](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks)
+ [Scénario 3 : plusieurs clés de chiffrement pour les pistes audio et vidéo](#drm-content-speke-v2-presets-multiple-encryption-keys-for-audio-and-video-tracks)
## Scénario 1 : pistes non chiffrées et pistes cryptées
Vous pouvez choisir de *ne pas* chiffrer les pistes audio ou vidéo en sélectionnant le préréglage **NON CHIFFRÉ** dans les menus Préréglage de **chiffrement vidéo ou Préréglage** de **chiffrement audio**. Vous ne pouvez pas sélectionner **NON CHIFFRÉ** pour les préréglages audio et vidéo, car cela signifierait que vous n'avez pas du tout l'intention de chiffrer les pistes. Vous ne pouvez pas non plus combiner les préréglages **UNENCRYPTED** et **SHARED** pour l'audio et la vidéo, car **SHARED** est un préréglage spécial. Pour de plus amples informations, veuillez consulter [Scénario 2 : clé de chiffrement unique pour toutes les pistes audio et vidéo](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks).
La liste suivante décrit les combinaisons valides de préréglages **NON CHIFFRÉS** :
+ **NON CRYPTÉ** pour les pistes audio et tout préréglage vidéo dont le nom commence par `PRESET_VIDEO_`
+ **NON CRYPTÉ** pour les pistes vidéo et tout préréglage audio dont le nom commence par `PRESET_AUDIO_`
## Scénario 2 : clé de chiffrement unique pour toutes les pistes audio et vidéo
Le préréglage SPEKE version 2.0 **SHARED** utilise une clé de cryptage unique pour toutes les pistes audio et vidéo, comme dans la version 1.0 de SPEKE. Lorsque vous sélectionnez le préréglage **SHARED**, sélectionnez-le pour le chiffrement audio et vidéo.
## Scénario 3 : plusieurs clés de chiffrement pour les pistes audio et vidéo
Lorsque vous utilisez un préréglage dont le nom commence par `PRESET_VIDEO_` ou `PRESET_AUDIO_` MediaConvert chiffre les pistes audio et vidéo avec le nombre de clés de chiffrement défini par le préréglage spécifique. Les tableaux suivants indiquent le nombre de MediaConvert demandes de clés provenant du serveur de clés et la manière dont ces clés sont associées aux pistes. Si aucune piste ne correspond aux critères d'une clé particulière, MediaConvert n'utilise pas cette clé pour chiffrer une piste.
MediaConvert chiffre uniquement les pistes de trickplay en i-Frame avec la clé correspondant à leur résolution.
Dans le tableau suivant, la valeur du **nom de clé** est la valeur de l'`ContentKeyUsageRule@IntendedTrackType`attribut MediaConvert utilisé dans le document CPIX. Il est envoyé au serveur SPEKE pour une clé de contenu spécifique.
**Préréglages de chiffrement vidéo**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/mediaconvert/latest/ug/drm-content-speke-v2-presets.html)
Dans le tableau suivant, la valeur du **nom de clé** est la valeur de l'`ContentKeyUsageRule@IntendedTrackType`attribut MediaConvert utilisé dans le document CPIX. Il est envoyé au serveur SPEKE pour une clé de contenu spécifique.
**Préréglages de chiffrement audio**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/mediaconvert/latest/ug/drm-content-speke-v2-presets.html)
Vous savez maintenant comment MediaConvert prend en charge les préréglages SPEKE version 2.0 pour les pistes non cryptées et les pistes cryptées. Avec ces préréglages, vous pouvez utiliser une clé de chiffrement unique pour toutes les pistes audio et vidéo, et plusieurs clés de chiffrement pour les pistes audio et vidéo.
# Utilisation de clés de contenu chiffrées avec DRM
Pour bénéficier de la solution de chiffrement DRM la plus sécurisée, utilisez des clés de contenu chiffrées en plus du contenu chiffré. Pour utiliser des clés de contenu chiffrées, vous devez importer les certificats appropriés dans AWS Certificate Manager (ACM), puis les préparer en vue de leur utilisation avec AWS Elemental MediaConvert. Pour plus d'informations sur ACM, consultez le [Guide de l'utilisateur AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/).
Courez AWS Certificate Manager dans la même région que vous courez AWS Elemental MediaConvert.
**Pour préparer un certificat pour le chiffrement de clés de contenu DRM**
1. Obtenez un certificat signé SHA-512 2048 RSA.
1. Ouvrez la console ACM à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Importez le certificat dans ACM conformément aux instructions de la section [Importation de certificats dans AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html). Notez l'ARN de certificat résultant, car vous en aurez besoin ultérieurement.
Pour être utilisé dans le cadre du chiffrement DRM, votre certificat doit avoir le statut **Émis** dans ACM.
1. Ouvrez la MediaConvert console à l'adresse [https://console.aws.amazon.com/mediaconvert/](https://console.aws.amazon.com/mediaconvert/).
1. Dans le panneau de navigation, sous **Certificates (Certificats)**, entrez l'ARN de votre certificat, puis choisissez **Associate certificate (Associer le certificat)**.
**Pour trouver les certificats associés à AWS Elemental MediaConvert**
Dans la console ACM, listez et affichez vos certificats pour trouver ceux auxquels vous êtes associés MediaConvert. Dans la section **Détails** de la description du certificat, vous pouvez voir l' MediaConvert association et récupérer l'ARN du certificat. Pour plus d'informations, consultez [Répertorier les certificats gérés par ACM et [Décrire](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-describe.html) les certificats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-list.html) ACM.
**Pour utiliser un certificat dans AWS Elemental MediaConvert**
Lorsque vous utilisez le chiffrement DRM, indiquez l'un des certificats associés ARNs dans les paramètres de chiffrement SPEKE. Cela active le chiffrement de clés de contenu. Vous pouvez utiliser le même ARN de certificat pour plusieurs tâches. Pour plus d'informations, consultez [Support des conteneurs et des systèmes DRM avec SPEKE](encryption-choosing-speke-version.md).
**Pour renouveler un certificat**
Pour renouveler un certificat auquel vous êtes associé AWS Elemental MediaConvert, réimportez-le dans AWS Certificate Manager. Le certificat est renouvelé sans interruption de son utilisation dans MediaConvert.
**Pour supprimer un certificat**
Pour supprimer un certificat de AWS Certificate Manager, vous devez d'abord le dissocier de tout autre service. Pour dissocier un certificat de AWS Elemental MediaConvert, copiez son ARN depuis ACM, accédez au volet MediaConvert **Certificats**, entrez l'ARN du certificat, puis choisissez **Dissocier** le certificat.
# Résolution des problèmes de chiffrement DRM
Si le serveur de clés du système DRM n'est pas disponible lorsque AWS Elemental MediaConvert les clés sont demandées, la console affiche le message suivant : Serveur de clés non disponible.
Le chiffrement de clé de contenu ajoute une autre couche de complexité à vos tâches. Si vous rencontrez des problèmes avec une tâche pour laquelle le chiffrement de clé de contenu est activé, supprimez l'ARN du certificat des paramètres de votre tâche et corrigez la tâche en utilisant une livraison de clés en clair. Une fois les problèmes corrigés, entrez à nouveau l'ARN du certificat, puis réessayez d'exécuter la tâche.
Si vous contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/) à des fins de résolution des problèmes, ayez à votre disposition les informations suivantes :
+ Région dans laquelle la tâche a été exécutée
+ ID de tâche
+ ID de compte
+ Nom de votre fournisseur de solution DRM
+ Toute autre détail relatif au problème que vous rencontrez susceptible de faciliter le dépannage
# Exigences
Lorsque vous implémentez le chiffrement de contenu pour MediaConvert, reportez-vous aux limites et exigences suivantes :
+ Utilisez l'API SPEKE ( AWS Secure Packager and Encoder Key Exchange) pour faciliter l'intégration avec un fournisseur de système de gestion des droits numériques (DRM). Pour plus d'informations sur SPEKE, voir [Qu'est-ce que Secure Packager and Encoder Key Exchange ?](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html)
+ Votre fournisseur de système DRM doit prendre en charge SPEKE. Pour obtenir la liste des fournisseurs de DRM qui prennent en charge SPEKE, consultez la rubrique [Intégrer un fournisseur de plateforme DRM](https://docs.aws.amazon.com/speke/latest/documentation/customer-onboarding.html#choose-drm-provider) dans le guide destiné aux *partenaires et aux clients de SPEKE*. Votre fournisseur de DRM peut vous aider à configurer l'utilisation du chiffrement DRM dans. MediaConvert