Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de AWS Secrets Manager l'authentification par jeton d'accès
Lorsque vous souhaitez utiliser l'authentification par jeton d' AWS Secrets Manager accès, procédez comme suit :
1. Vous [créez une clé gérée par le AWS Key Management Service client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. Tu [crées un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Le secret contient votre jeton d'accès, qui est stocké dans Secrets Manager sous forme de valeur secrète cryptée. MediaTailor utilise la clé gérée par le AWS KMS client pour déchiffrer la valeur secrète.
1. Vous configurez un emplacement AWS Elemental MediaTailor source pour utiliser l'authentification par jeton d'accès à Secrets Manager.
La section suivante fournit des step-by-step conseils sur la façon de configurer l'authentification par jeton d' AWS Secrets Manager accès.
**Topics**
+ [Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Étape 2 : créer un AWS Secrets Manager secret](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Étape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client
Vous l'utilisez AWS Secrets Manager pour stocker votre jeton d'accès sous la forme d'un code secret. `SecretString` `SecretString`Il est chiffré à l'aide d'une *cléAWS KMS symétrique gérée par le client* que vous créez, détenez et gérez. MediaTailor utilise la clé symétrique gérée par le client pour faciliter l'accès au secret avec une autorisation, et pour chiffrer et déchiffrer la valeur du secret.
Les clés gérées par le client vous permettent d'effectuer des tâches telles que les suivantes :
+ Établissement et gestion des stratégies de clé
+ Établissement et gestion des politiques IAM et des octrois
+ Activation et désactivation des stratégies de clé
+ Matériau clé cryptographique rotatif
+ Ajout de balises
Pour plus d'informations sur la manière dont Secrets Manager protège les secrets, consultez la rubrique [Comment les AWS Secrets Manager utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dans le *Guide du AWS Key Management Service développeur*. AWS KMS
Pour plus d’informations sur les clés gérées par le client, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du développeur AWS Key Management Service *.
**Note**
AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez la page de [AWS Key Management Service tarification](https://aws.amazon.com/kms/pricing/).
Vous pouvez créer une clé AWS KMS symétrique gérée par le client à l'aide du AWS Management Console ou par programmation avec le. AWS KMS APIs
### Pour créer une clé symétrique gérée par le client
Suivez les étapes de [création d'une clé symétrique gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *guide du AWS Key Management Service développeur*.
Notez la clé Amazon Resource Name (ARN) ; vous en aurez besoin[Étape 2 : créer un AWS Secrets Manager secret](#channel-assembly-access-configuration-access-token-how-to-create-secret).
### Contexte de chiffrement
Un *contexte de chiffrement* est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.
Secrets Manager inclut un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) lors du chiffrement et du déchiffrement du. `SecretString` Le contexte de chiffrement inclut l'ARN secret, qui limite le chiffrement à ce secret spécifique. Comme mesure de sécurité supplémentaire, MediaTailor crée une AWS KMS subvention en votre nom. MediaTailor applique une [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)opération qui nous permet uniquement de *déchiffrer* l'ARN secret `SecretString` associé au contenu du contexte de chiffrement Secrets Manager.
Pour plus d'informations sur la manière dont Secrets Manager utilise le contexte de [chiffrement, consultez la rubrique Contexte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) de chiffrement du *Guide du AWS Key Management Service développeur*.
### Définition de la politique clé
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez utiliser la politique de clé par défaut. Pour plus d’informations, consultez [Authentification et contrôle d’accès pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Guide du développeur AWS Key Management Service *.
Pour utiliser votre clé gérée par le client avec vos ressources de localisation MediaTailor source, vous devez autoriser le principal IAM qui appelle [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)ou utilise [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)les opérations d'API suivantes :
+ `kms:CreateGrant`— Ajoute une autorisation à une clé gérée par le client. MediaTailor crée une autorisation sur votre clé gérée par le client qui lui permet d'utiliser la clé pour créer ou mettre à jour un emplacement source configuré avec une authentification par jeton d'accès. Pour plus d'informations sur l'utilisation de [Grants dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consultez le *guide du AWS Key Management Service développeur.*
Cela permet MediaTailor d'effectuer les opérations suivantes :
+ Appelez `Decrypt` pour qu'il puisse récupérer avec succès le secret de votre Gestionnaire de Secrets Manager lors de l'appel [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Appelez `RetireGrant` pour annuler l'autorisation lorsque l'emplacement source est supprimé ou lorsque l'accès au secret a été révoqué.
Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
Pour plus d'informations sur la définition des autorisations dans une politique et la résolution des problèmes d'accès par clé, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur*.
## Étape 2 : créer un AWS Secrets Manager secret
Utilisez Secrets Manager pour stocker votre jeton d'accès sous la forme d'un `SecretString` jeton chiffré par une clé gérée par le AWS KMS client. MediaTailorutilise la clé pour déchiffrer le`SecretString`. Pour plus d'informations sur la manière dont Secrets Manager protège les secrets, consultez la rubrique [Comment les AWS Secrets Manager utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dans le *Guide du AWS Key Management Service développeur*. AWS KMS
Si vous utilisez AWS Elemental MediaPackage comme emplacement source l'origine et que vous souhaitez utiliser l'authentification par jeton d'accès MediaTailor Secrets Manager, suivez la procédure[Intégration aux MediaPackage points de terminaison qui utilisent l'autorisation CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Vous pouvez créer un secret du Gestionnaire de Secrets à l'aide du AWS Management Console ou par programmation avec le Gestionnaire de Secrets. APIs
### Pour créer un secret
Suivez les étapes décrites AWS Secrets Manager dans le *guide de l'AWS Secrets Manager utilisateur* pour [créer et gérer des secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html).
Tenez compte des considérations suivantes lors de la création de votre secret :
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Il doit s'agir de l'[ARN de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) gérée par le client que vous avez créée à l'étape 1.
+ Vous devez fournir un [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Il doit s'agir d'un objet JSON valide qui inclut une clé et une valeur contenant le jeton d'accès. Par exemple, \$1» MyAccessTokenIdentifier « ?112233445566"\$1. La valeur doit comporter entre 8 et 128 caractères.
Lorsque vous configurez votre emplacement source avec l'authentification par jeton d'accès, vous spécifiez la `SecretString` clé. MediaTailor utilise la clé pour rechercher et récupérer le jeton d'accès stocké dans le`SecretString`.
Notez l'ARN secret et la `SecretString` clé. Vous les utiliserez lorsque vous configurerez votre emplacement source pour utiliser l'authentification par jeton d'accès.
### Joindre une politique secrète basée sur les ressources
Pour autoriser l' MediaTailor accès à la valeur secrète, vous devez lui associer une politique basée sur les ressources. Pour plus d'informations, consultez la section [Attacher une politique d'autorisations à un secret de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Étape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès
Vous pouvez configurer l'authentification par jeton d'accès à Secrets Manager à l'aide du AWS Management Console ou par programmation avec le. MediaTailor APIs
**Pour configurer un emplacement source avec l'authentification par jeton d'accès à Secrets Manager**
Suivez les étapes décrites [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) dans le *guide de AWS Elemental MediaTailor l'utilisateur*.