Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement de contenu et DRM dans AWS Elemental MediaPackage
Protégez votre contenu contre toute utilisation non autorisée grâce au chiffrement du contenu et à la gestion des droits numériques (DRM). AWS Elemental MediaPackage utilise l'[API SPEKE (AWS Secure Packager and Encoder Key Exchange)](https://aws.amazon.com/media/tech/speke-basics-secure-packager-encoder-key-exchange-api/) pour faciliter le chiffrement et le déchiffrement du contenu par un fournisseur de DRM. À l'aide de SPEKE, le fournisseur de DRM fournit des clés de chiffrement MediaPackage via l'API SPEKE. Le fournisseur de DRM fournit également des licences aux lecteurs multimédias compatibles pour le déchiffrement. Pour plus d'informations sur la façon dont SPEKE est utilisé avec les services et fonctionnalités exécutés dans le cloud, consultez l'[architecture AWS basée sur le cloud](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html#services-architecture) dans le guide de spécification de l'*API Secure Packager and Encoder Key Exchange*.
## Limitations et exigences
Lorsque vous implémentez le chiffrement de contenu pour AWS Elemental MediaPackage, reportez-vous aux limites et exigences suivantes :
+ Utilisez l'API SPEKE ( AWS Secure Packager and Encoder Key Exchange) pour faciliter l'intégration avec un fournisseur de gestion des droits numériques (DRM). Pour plus d'informations sur SPEKE, voir [Qu'est-ce que Secure Packager and Encoder Key Exchange ?](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html)
+ Votre fournisseur de DRM doit prendre en charge SPEKE. *Pour [obtenir la liste des fournisseurs de DRM qui prennent en charge SPEKE, consultez la rubrique Intégrer un fournisseur de plateforme DRM](https://docs.aws.amazon.com/speke/latest/documentation/customer-onboarding.html#choose-drm-provider) dans le guide de l'MediaPackage utilisateur.* Votre fournisseur de solutions DRM peut vous aider à configurer l'utilisation du chiffrement DRM dans. MediaPackage
+ MediaPackage À utiliser pour chiffrer le contenu en direct et le contenu vidéo à la demande (VOD). Les actifs qui doivent être fournis via le service MediaPackage VOD doivent être collectés à partir d'un point de terminaison HLS live non crypté. Vous pouvez récolter live-to-VOD des actifs à partir de points de terminaison HLS et DASH protégés par DRM ou par chiffrement. Cependant, le service de MediaPackage VOD ne peut pas ingérer ces actifs car il s'agit de contenu crypté (et non clair). Pour plus d'informations sur ce type de flux de travail, consultez[Création de live-to-VOD ressources avec AWS Elemental MediaPackage](ltov.md).
Les sections suivantes fournissent des conseils sur la manière de choisir et de mettre en œuvre le chiffrement de contenu à l'aide de SPEKE for MediaPackage.
**Topics**
+ [
## Limitations et exigences
](#encryption-requirements)
+ [
# Choisir la bonne version de SPEKE
](encryption-choosing-speke-version.md)
+ [
# Déploiement de SPEKE
](encryption-deploying-speke.md)
+ [
# Préparation et gestion des certificats à utiliser avec les clés de contenu
](drm-content-key-encryption.md)
+ [
# Comprendre le comportement de rotation des clés
](drm-content-key-rotation.md)
+ [
# Préréglages SPEKE version 2.0
](drm-content-speke-v2-presets.md)
+ [
# Supprimer les balises du manifeste parent de AWS Elemental MediaPackage
](drm-query-param.md)
# Choisir la bonne version de SPEKE
La [version 1 de SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api.html) prend en charge l'utilisation d'une clé de chiffrement unique pour toutes les pistes audio et vidéo et utilise la version 2.0 de [CPIX](https://dashif.org/docs/DASH-IF-CPIX-v2-0.pdf). Pour les pistes audio et vidéo, [SPEKE version 2.0](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api-v2.html) prend en charge l'utilisation de plusieurs clés de chiffrement distinctes et utilise la version [CPIX 2.3](https://dashif.org/docs/CPIX2.3/Cpix.html). Pour plus d'informations sur les configurations de chiffrement SPEKE version 2.0, consultez[Préréglages SPEKE version 2.0](drm-content-speke-v2-presets.md).
Si le chiffrement à clés multiples ou l'échange d'informations de protection du contenu (CPIX) version 2.3 sont des exigences obligatoires pour la diffusion de votre contenu, la version 2.0 de SPEKE est un bon choix. Cependant, la prise en charge de la version 2.0 de SPEKE est progressive selon les types de terminaux dans MediaPackage. Cela signifie que certaines options en temps réel, comme la rotation des touches, ne sont pas encore disponibles. Tenez compte de ces contraintes lors de l'élaboration de votre stratégie d'intégration SPEKE. Pour en savoir plus sur la feuille de route de SPEKE version 2.0 pour MediaPackage, contactez votre Compte AWS équipe.
**Protocoles et plateformes DRM pris en charge**
Les tableaux suivants répertorient les différents protocoles et plateformes de gestion des droits numériques (DRM) pris en charge par SPEKE version 1.0 et SPEKE version 2.0.
**Note**
La protection du contenu Irdeto n'est pas prise en charge en combinaison avec SPEKE version 1.0.
| | | | | |
| --- |--- |--- |--- |--- |
| SPEKE Version 1.0 — Matrice de support pour le protocole et le système DRM | Microsoft PlayReady | Google Widevine | Pomme FairPlay | AES-128 |
| En direct |
| Apple HLS | Non pris en charge | Non pris en charge | √ Dispose d'une rotation des clés | √ Dispose d'une rotation des clés |
| CMAF Apple HLS | Non pris en charge | √ Dispose d'une rotation des clés Supporte uniquement le cryptage CBCS | √ Dispose d'une rotation des clés Supporte uniquement le cryptage CBCS | Non pris en charge |
| DASH | √ Dispose d'une rotation des clés | √ Dispose d'une rotation des clés | Non pris en charge | Non pris en charge |
| Microsoft Smooth | √ | Non pris en charge | Non pris en charge | Non pris en charge |
| VOD |
| Apple HLS | Non pris en charge | Non pris en charge | √ | √ |
| CMAF Apple HLS | Non pris en charge | √ Supporte uniquement le cryptage CBCS | √ Supporte uniquement le cryptage CBCS | Non pris en charge |
| DASH | √ | √ | Non pris en charge | Non pris en charge |
| Microsoft Smooth | √ | Non pris en charge | Non pris en charge | Non pris en charge |
| | | | | |
| --- |--- |--- |--- |--- |
| SPEKE Version 2.0 — Matrice de support pour le protocole et le système DRM | Microsoft PlayReady | Google Widevine | Pomme FairPlay | Protection du contenu Irdeto |
| En direct |
| CMAF Apple HLS | √ Supporte le cryptage CBCS et CENC | √ Supporte le cryptage CBCS et CENC | √ Supporte le cryptage CBCS | Non pris en charge |
| DASH | √ | √ | Non pris en charge | √ |
| VOD |
| CMAF Apple HLS | √ Supporte uniquement le cryptage CBCS | √ Supporte uniquement le cryptage CBCS | √ Supporte uniquement le cryptage CBCS | Non pris en charge |
| DASH | √ | √ | Non pris en charge | √ |
# Déploiement de SPEKE
Votre fournisseur de solutions de gestion des droits numériques (DRM) peut vous aider à configurer l'utilisation du chiffrement DRM dans. MediaPackage En général, le fournisseur vous fournit une passerelle SPEKE à déployer Compte AWS dans votre environnement Région AWS MediaPackage d'exécution. En plus de configurer vos points de terminaison d'origine avec les bons paramètres de chiffrement, vous devez [configurer les notifications d'événements](https://docs.aws.amazon.com/mediapackage/latest/ug/cloudwatch-events-notification.html) pour les [principaux événements du fournisseur](https://docs.aws.amazon.com/mediapackage/latest/ug/cloudwatch-events-example.html#key-provider-state-events) générés sous forme d' CloudWatch événements. MediaPackage [Pour plus d'informations sur la configuration des paramètres de chiffrement pour votre terminal, consultez la section applicable à votre protocole : champs de [chiffrement HLS, champs](https://docs.aws.amazon.com/mediapackage/latest/ug/endpoints-hls-encryption.html) de chiffrement [MSS, champs de cryptage](https://docs.aws.amazon.com/mediapackage/latest/ug/endpoints-smooth-encryption.html)[CMAF et champs de cryptage](https://docs.aws.amazon.com/mediapackage/latest/ug/endpoints-cmaf-encryption.html) DASH.](https://docs.aws.amazon.com/mediapackage/latest/ug/endpoints-dash-encryption.html)
Si vous devez créer votre propre API Gateway pour vous connecter MediaPackage à votre service clé, vous pouvez utiliser le [serveur de référence SPEKE](https://github.com/awslabs/speke-reference-server) disponible sur GitHub comme point de départ.
# Préparation et gestion des certificats à utiliser avec les clés de contenu
AWS Elemental MediaPackage utilise un document CPIX (Content Protection Information Exchange) pour communiquer avec SPEKE au sujet des clés de contenu utilisées pour chiffrer votre contenu. Pour obtenir la solution de chiffrement de gestion des droits numériques (DRM) la plus sécurisée, utilisez des clés de contenu chiffrées dans le document CPIX.
Pour utiliser des clés de contenu chiffrées, les conditions suivantes doivent être remplies :
+ Le contenu chiffré doit être diffusé en direct. La vidéo à la demande (VOD) et les live-to-VOD flux de travail ne prennent pas en charge les clés de contenu chiffrées dans le document CPIX.
+ Votre fournisseur de clés DRM doit prendre en charge les clés de contenu chiffrées. Si vous activez cette fonction pour un fournisseur de clés qui ne gère pas le chiffrement des clés de contenu, la lecture échoue.
+ Vous devez importer un certificat approprié dans AWS Certificate Manager (ACM) dans la même région que celle que vous gérez MediaPackage. Pour plus d'informations sur ACM, consultez le [Guide de l'utilisateur AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/).
Les procédures suivantes décrivent comment préparer et gérer le certificat.
**Pour préparer un certificat pour le chiffrement de clés de contenu DRM**
1. Obtenez un certificat signé SHA-512 2048 RSA.
1. Ouvrez la console ACM à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Importez le certificat dans ACM conformément aux instructions de la section [Importation de certificats dans le gestionnaire de certificats AWS](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html). Notez l'ARN de certificat résultant, car vous en aurez besoin ultérieurement.
Pour être utilisé dans le cadre du chiffrement DRM, votre certificat doit avoir le statut **Émis** dans ACM.
**Pour utiliser un certificat dans AWS Elemental MediaPackage**
Lorsque vous utilisez le chiffrement DRM dans votre configuration de point de terminaison, fournissez l'ARN de votre certificat dans les paramètres de chiffrement. Cela active le chiffrement de clés de contenu. Vous pouvez utiliser le même ARN de certificat pour plusieurs événements. Pour plus d'informations, consultez les détails sur les paramètres de chiffrement dans [Utilisation de points de terminaison dans AWS Elemental MediaPackage](endpoints.md).
**Pour renouveler un certificat**
Pour renouveler un certificat que vous utilisez dans AWS Elemental MediaPackage, réimportez-le dans ACM. Le certificat est renouvelé sans interruption de son utilisation dans MediaPackage.
**Pour supprimer un certificat**
Pour supprimer un certificat d'ACM, il ne doit être associé à aucun autre service. Supprimez l'ARN de certificat des configurations de point de terminaison dans lesquelles vous l'avez utilisé, puis supprimez-le d'ACM.
**Note**
Si vous supprimez un ARN de certificat d'un point de terminaison actif, le point de terminaison continue de s'exécuter, mais arrête d'utiliser le chiffrement de clé de contenu.
# Comprendre le comportement de rotation des clés
Lorsque vous activez la rotation des clés au niveau du contenu en direct à partir des points de terminaison HLS, CMAF et DASH, AWS Elemental MediaPackage récupère des clés de contenu avant le début de la diffusion en direct. Au fur et à mesure que le contenu progresse, MediaPackage les nouvelles clés sont récupérées à l'intervalle que vous avez défini sur le point de terminaison, comme décrit dans[Champs de chiffrement du package](endpoints-hls-encryption.md).
S'il n' MediaPackage est pas en mesure de récupérer la clé de contenu, il prend les mesures suivantes :
+ S'il MediaPackage a déjà récupéré avec succès une clé de contenu pour ce point de terminaison, il utilise la dernière clé qu'il a récupérée. Cela garantit que les points de terminaison qui fonctionnaient précédemment continuent à fonctionner.
+ S'il *n' MediaPackage a pas* réussi à récupérer une clé de contenu pour ce point de terminaison auparavant, MediaPackage répond à la demande de lecture avec l'erreur 404.
Dans tous les cas, lorsque MediaPackage vous ne pouvez pas récupérer une clé de contenu, cela génère un CloudWatch événement, comme décrit dans[Principaux événements de notification destinés aux fournisseurs](cloudwatch-events-example.md#key-provider-state-events).
# Préréglages SPEKE version 2.0
La version 2.0 de SPEKE prend en charge l'utilisation de plusieurs clés de chiffrement distinctes pour les pistes audio et vidéo. MediaPackage utilise des **préréglages** pour configurer le chiffrement. L' MediaPackage API définit ces préréglages et ils apparaissent dans la MediaPackage console dans les menus Préréglage de **chiffrement vidéo et Préréglage de chiffrement** **audio** de la section **Configuration des points de terminaison de Package Encryption**. Les préréglages associent les clés de chiffrement à des pistes audio ou vidéo spécifiques, en fonction du nombre de canaux pour les pistes audio et de la résolution vidéo pour les pistes vidéo. MediaPackage utilise des combinaisons spécifiques de préréglages de chiffrement audio et vidéo pour prendre en charge trois scénarios de chiffrement différents :
+ [Scénario 1 : pistes non chiffrées et pistes cryptées](#drm-content-speke-v2-presets-unencrypted-and-encrypted-tracks)
+ [Scénario 2 : clé de chiffrement unique pour toutes les pistes audio et vidéo](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks)
+ [Scénario 3 : plusieurs clés de chiffrement pour les pistes audio et vidéo](#drm-content-speke-v2-presets-multiple-encryption-keys-for-audio-and-video-tracks)
## Scénario 1 : pistes non chiffrées et pistes cryptées
Vous pouvez choisir de *ne pas* chiffrer les pistes audio ou vidéo en sélectionnant le préréglage **NON CHIFFRÉ** dans les menus Préréglage de **chiffrement vidéo ou Préréglage** de **chiffrement audio**. Vous ne pouvez pas sélectionner **NON CHIFFRÉ** pour les préréglages audio et vidéo, car cela signifierait que vous n'avez pas du tout l'intention de chiffrer les pistes. Vous ne pouvez pas non plus combiner les préréglages **UNENCRYPTED** et **SHARED** pour l'audio et la vidéo, car **SHARED** est un préréglage spécial. Pour de plus amples informations, veuillez consulter [Scénario 2 : clé de chiffrement unique pour toutes les pistes audio et vidéo](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks).
La liste suivante décrit les combinaisons valides de préréglages **NON CHIFFRÉS** :
+ **NON CRYPTÉ** pour les pistes audio et tout préréglage vidéo dont le nom commence par `PRESET-VIDEO-`
+ **NON CRYPTÉ** pour les pistes vidéo et tout préréglage audio dont le nom commence par `PRESET-AUDIO-`
## Scénario 2 : clé de chiffrement unique pour toutes les pistes audio et vidéo
Le préréglage SPEKE version 2.0 **SHARED** utilise une clé de cryptage unique pour toutes les pistes audio et vidéo, comme dans la version 1.0 de SPEKE. Lorsque vous sélectionnez le préréglage **SHARED**, sélectionnez-le pour le chiffrement audio et vidéo.
## Scénario 3 : plusieurs clés de chiffrement pour les pistes audio et vidéo
Lorsque vous utilisez un préréglage dont le nom commence par `PRESET-VIDEO-` ou MediaPackage chiffre `PRESET-AUDIO-` les pistes audio et vidéo à l'aide du nombre de clés de chiffrement défini par le préréglage spécifique. Les tableaux suivants indiquent le nombre de MediaPackage demandes de clés provenant du serveur de clés et la manière dont ces clés sont associées aux pistes. Si aucune piste ne correspond aux critères d'une clé particulière, MediaPackage n'utilise pas cette clé pour chiffrer une piste.
MediaPackage chiffre uniquement les pistes de trickplay en i-Frame avec la clé correspondant à leur résolution.
Dans le tableau suivant, la valeur du **nom de clé** est la valeur de l'`ContentKeyUsageRule@IntendedTrackType`attribut MediaPackage utilisé dans le document CPIX. Il est envoyé au serveur SPEKE pour obtenir une clé de contenu spécifique.
**Préréglages de chiffrement vidéo**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/mediapackage/latest/ug/drm-content-speke-v2-presets.html)
Dans le tableau suivant, la valeur du **nom de clé** est la valeur de l'`ContentKeyUsageRule@IntendedTrackType`attribut MediaPackage utilisé dans le document CPIX. Il est envoyé au serveur SPEKE pour obtenir une clé de contenu spécifique.
**Préréglages de chiffrement audio**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/mediapackage/latest/ug/drm-content-speke-v2-presets.html)
Vous savez maintenant comment MediaPackage prend en charge les préréglages SPEKE version 2.0 pour les pistes non cryptées et les pistes cryptées. Avec ces préréglages, vous pouvez utiliser une clé de chiffrement unique pour toutes les pistes audio et vidéo, et plusieurs clés de chiffrement pour les pistes audio et vidéo.
# Supprimer les balises du manifeste parent de AWS Elemental MediaPackage
MediaPackage les signaux du parent manifestent le `#EXT-X-SESSION-KEY` tag pour chaque type de piste sur un point de terminaison HLS ou CMAF. Cette balise permet aux appareils de lecture de prérécupérer les clés lorsqu'une clé est partagée entre plusieurs flux. Il peut arriver que vous ne vouliez pas utiliser cette balise facultative, par exemple lorsque vous n'utilisez qu'un sous-ensemble de pistes et que vous ne souhaitez pas que toutes les clés soient référencées dans le manifeste parent. Avec SPEKE v2, vous pouvez ajouter un paramètre de requête à vos demandes de manifeste qui supprimera toutes les `#EXT-X-SESSION-KEY ` balises du manifeste parent. Comme chaque manifeste enfant possède sa propre `#EXT-X-KEY` étiquette permettant d'obtenir une clé de déchiffrement, celle-ci `#EXT-X-SESSION-KEY ` est souvent superflue.
Pour supprimer la `#EXT-X-SESSION-KEY` balise des réponses au MediaPackage manifeste, utilisez le paramètre de requête suivant : `aws.drmsettings=excludesessionkeys`
La section suivante fournit des informations supplémentaires sur l'utilisation des paramètres de requête.
## Syntaxe de requête
Le paramètre de requête de base pour la suppression des `#EXT-X-SESSION-KEY` balises est`aws.drmsettings`, suivi de paires de nom de paramètre et de valeur facultatives. Pour créer la requête, ajoutez-la `?aws.drmsettings=` à la fin de l'URL du MediaPackage point de terminaison, suivie du nom et de la valeur du paramètre.
Une requête de filtre Apple HLS peut ressembler à ceci :
`https://example-mediapackage-endpoint.mediapackage.us-west-2.amazonaws.com/out/v1/examplemediapackage/index.m3u8?aws.drmsettings=excludesessionkeys`
La syntaxe de requête est répertoriée dans le tableau suivant.
**Note**
Si vous utilisez Amazon CloudFront comme CDN, vous devrez peut-être définir des configurations supplémentaires. Pour plus d'informations, voir [Configurer le comportement du cache pour tous les points de terminaison](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/live-streaming.html#live-streaming-with-mediapackage-create-cache-behavior).
| Composant de chaîne de requête | Description |
| --- | --- |
| ? | Caractère restreint qui marque le début d'une requête. |
| aws.drmsettings= | Requête de base, suivie de paramètres constitués de paires nom-valeur. |
| : | Associe le nom du paramètre à une valeur. Par exemple, parameter\$1name:value. |
| ; | Sépare les paramètres d'une requête contenant plusieurs paramètres. Par exemple, parameter1\$1name:value;parameter2\$1name:minValue-maxValue. Lorsqu'il est utilisé dans une liste de paramètres pour la même requête, cela implique une AND opération. |
## Conditions d'erreur
Certains appareils de lecture renvoient des erreurs si le manifeste ou les segments contiennent des paramètres de requête non valides ou inconnus. Les paramètres de requête suivants MediaPackage peuvent être traités :
+ `m`
+ `start`
+ `end`
+ `aws.manifestfilter`
+ `aws.drmsettings`
Si vous avez des paramètres de requête autres que ceux répertoriés, utilisez un CDN tel qu'Amazon CloudFront pour supprimer les paramètres inutiles. Pour plus d'informations, consultez la section [Contenu du cache basé sur les paramètres de chaîne de requête](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/QueryStringParameters.html) dans le manuel *Amazon CloudFront Developer Guide*.
Le tableau suivant contient d'autres conditions d'erreur courantes.
****
| Condition d’erreur | Exemple | Code de statut HTTP |
| --- | --- | --- |
| Un paramètre de liste est introuvable et ne fait pas partie d'une liste limitée | ?aws.manifestfilter=audio\$1language:dahlia | 200 |
| Seuls les flux des sous-titres sont présents dans le flux | ?aws.manifestfilter=audio\$1sample\$1rate:0-1;video\$1bitrate=0-1 | 200 |
| Paramètre de filtre en double | ?aws.manifestfilter=audio\$1sample\$1rate:0-48000;aws.manifestfilter=audio\$1sample\$1rate:0-48000 | 400 |
| Paramètre non valide | ?aws.manifestfilter=donut\$1type:rhododendron | 400 |
| Paramètre de plage non valide | ?aws.manifestfilter=audio\$1sample\$1rate:300-0 | 400 |
| Valeur de plage non valide (supérieure à INT\$1MAX) | ?aws.manifestfilter=audio\$1sample\$1rate:0-2147483648 | 400 |
| Chaîne de requête mal formée | ?aws.manifestfilter=audio\$1sample\$1rate:is:0-44100 | 400 |
| La chaîne de paramètre est supérieure à 1024 caractères | ?aws.manifestfilter=audio\$1language:abcdef.... | 400 |
| Paramètres de requête sur un manifeste de débit binaire HLS ou CMAF | index\$11.m3u8?aws.manifestfilter=video\$1codec:h264 | 400 |
| Paramètres de requête sur une demande de segment | ...\$11.[ts\$1mp4\$1vtt..]?aws.manifestfilter=video\$1codec:h264 | 400 |
| Paramètre de requête répétée | ?aws.manifestfilter=audio\$1sample\$1rate:0-48000;aws.manifestfilter=video\$1bitrate:0-1 | 400 |
| L'application du filtre débouche sur un manifeste vide (le contenu n'a pas de flux répondant aux conditions définies dans la chaîne de requête) | ?aws.manifestfilter=audio\$1sample\$1rate:0-1;video\$1bitrate=0-1 | 400 |