Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de l'authentification pour votre emplacement source
Utilisez **la configuration des accès** pour configurer l'authentification pour votre emplacement source. Lorsque la configuration des accès est activée, il MediaTailor ne récupère les manifestes source de votre origine que si la demande est autorisée entre MediaTailor et votre origine. La configuration des accès est désactivée par défaut.
MediaTailor prend en charge les types d'authentification suivants :
+ SigV4 pour l'authentification Amazon S3
+ AWS Secrets Manager jeton d'accès
+ SigV4 pour l' MediaPackage authentification de la version 2 (v2)
Ce chapitre explique comment utiliser Sigv4 pour Amazon S3, MediaPackage v2, et les jetons d' AWS Secrets Manager accès pour l'authentification de l'emplacement de la source.
Pour plus d'informations, sélectionnez la rubrique appropriée.
**Topics**
+ [Authentification des demandes adressées à Amazon S3 avec SigV4](channel-assembly-access-configuration-sigv4.md)
+ [Utilisation de SigV4 pour la MediaPackage version 2](channel-assembly-access-configuration-sigv4-empv2.md)
+ [Utilisation de l'authentification par jeton d' AWS Secrets Manager accès](channel-assembly-access-configuration-access-token.md)
# Authentification des demandes adressées à Amazon S3 avec SigV4
Signature Version 4 (Sigv4) pour Amazon S3 est un protocole de signature utilisé pour authentifier les demandes adressées à Amazon S3 via HTTPS. Lorsque vous utilisez SigV4 pour Amazon S3, MediaTailor inclut un en-tête d'autorisation signé dans la demande HTTPS envoyée au compartiment Amazon S3 utilisé comme origine. Si l'en-tête d'autorisation signé est valide, votre origine répond à la demande. Si elle n'est pas valide, la demande échoue.
Pour obtenir des informations générales sur SigV4 pour AWS Key Management Service, consultez la rubrique [Authentication Requests (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) dans le manuel de référence de l'*API Amazon S3*.
**Note**
MediaTailor signe toujours les demandes adressées à ces origines avec SigV4.
## Exigences
Si vous activez SigV4 pour l'authentification Amazon S3 pour votre emplacement source, vous devez répondre aux exigences suivantes :
+ Vous devez autoriser MediaTailor l'accès à votre compartiment Amazon S3 en accordant à **mediatailor.amazonaws.com** un accès principal dans IAM. Pour plus d'informations sur la configuration de l'accès dans IAM, consultez la section [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de Gestion des identités et des accès AWS l'utilisateur*.
+ Le responsable du service **mediatailor.amazonaws.com** doit être autorisé à lire toutes les playlists multivariantes référencées par les configurations du package source VOD.
+ L'appelant de l'API doit disposer des autorisations **s3 : GetObject** IAM pour lire toutes les playlists multivariantes référencées par les configurations de votre package source MediaTailor VOD.
+ L'URL de base de votre localisation MediaTailor source doit respecter le format d'URL de demande de type hébergé virtuel Amazon S3. Par exemple, https ://*bucket-name*.s3. *Region*.amazonaws.com/*key-name*. Pour plus d'informations sur l'accès de type virtuel hébergé par Amazon S3, consultez la section Demandes de style [virtuel hébergé](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access).
# Utilisation de SigV4 pour la MediaPackage version 2
Signature Version 4 (SigV4) pour MediaPackage v2 est un protocole de signature utilisé pour authentifier les demandes adressées à la MediaPackage v2 via HTTP. Lorsque vous utilisez SigV4 pour la MediaPackage version v2, MediaTailor inclut un en-tête d'autorisation signé dans la requête HTTP envoyée au point de terminaison MediaPackage v2 utilisé comme origine. Si l'en-tête d'autorisation signé est valide, votre origine répond à la demande. Si elle n'est pas valide, la demande échoue.
Pour des informations générales sur SigV4 pour MediaPackage v2, consultez la rubrique [Authentification des demandes (AWS signature version 4)](https://docs.aws.amazon.com/mediapackage/latest/userguide/sig-v4-authenticating-requests.html) dans le guide de référence de l'*API MediaPackage v2*.
## Exigences
Si vous activez SigV4 pour l'authentification MediaPackage v2 pour votre emplacement source, vous devez répondre aux exigences suivantes :
+ Vous devez autoriser l'accès MediaTailor à votre point de terminaison MediaPackage v2 en accordant l'accès principal à **mediatailor.amazonaws.com** dans le cadre d'une politique d'accès à Origin sur le point de terminaison.
+ L'URL de base de votre localisation MediaTailor source doit être un point de terminaison MediaPackage v2.
+ L'appelant de l'API doit disposer des autorisations **mediapackagev2 : GetObject** IAM pour lire toutes les playlists multivariantes référencées par les configurations du package source. MediaTailor
# Utilisation de l'authentification par jeton d' AWS Secrets Manager accès
MediaTailor prend en charge l'*authentification par jeton d'accès à Secrets Manager*. L'authentification par jeton d' AWS Secrets Manager accès MediaTailor utilise une clé AWS Key Management Service (AWS KMS) gérée par le client et un AWS Secrets Manager secret que vous créez, détenez et gérez pour authentifier les demandes auprès de votre origine.
Dans cette section, nous expliquons le fonctionnement de l'authentification par jeton d'accès à Secrets Manager et fournissons des step-by-step informations sur la façon de configurer l'authentification par jeton d'accès à Secrets Manager. Vous pouvez utiliser l'authentification par jeton d'accès à Secrets Manager dans le AWS Management Console ou par programmation avec. AWS APIs
**Topics**
+ [Configuration de AWS Secrets Manager l'authentification par jeton d'accès](channel-assembly-access-configuration-access-configuring.md)
+ [Intégration aux MediaPackage points de terminaison qui utilisent l'autorisation CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [Comment fonctionne l'authentification par jeton d'accès à MediaTailor Secrets Manager](channel-assembly-access-configuration-overview.md)
# Configuration de AWS Secrets Manager l'authentification par jeton d'accès
Lorsque vous souhaitez utiliser l'authentification par jeton d' AWS Secrets Manager accès, procédez comme suit :
1. Vous [créez une clé gérée par le AWS Key Management Service client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. Tu [crées un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Le secret contient votre jeton d'accès, qui est stocké dans Secrets Manager sous forme de valeur secrète cryptée. MediaTailor utilise la clé gérée par le AWS KMS client pour déchiffrer la valeur secrète.
1. Vous configurez un emplacement AWS Elemental MediaTailor source pour utiliser l'authentification par jeton d'accès à Secrets Manager.
La section suivante fournit des step-by-step conseils sur la façon de configurer l'authentification par jeton d' AWS Secrets Manager accès.
**Topics**
+ [Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Étape 2 : créer un AWS Secrets Manager secret](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Étape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client
Vous l'utilisez AWS Secrets Manager pour stocker votre jeton d'accès sous la forme d'un code secret. `SecretString` `SecretString`Il est chiffré à l'aide d'une *cléAWS KMS symétrique gérée par le client* que vous créez, détenez et gérez. MediaTailor utilise la clé symétrique gérée par le client pour faciliter l'accès au secret avec une autorisation, et pour chiffrer et déchiffrer la valeur du secret.
Les clés gérées par le client vous permettent d'effectuer des tâches telles que les suivantes :
+ Établissement et gestion des stratégies de clé
+ Établissement et gestion des politiques IAM et des octrois
+ Activation et désactivation des stratégies de clé
+ Matériau clé cryptographique rotatif
+ Ajout de balises
Pour plus d'informations sur la manière dont Secrets Manager protège les secrets, consultez la rubrique [Comment les AWS Secrets Manager utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dans le *Guide du AWS Key Management Service développeur*. AWS KMS
Pour plus d’informations sur les clés gérées par le client, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du développeur AWS Key Management Service *.
**Note**
AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez la page de [AWS Key Management Service tarification](https://aws.amazon.com/kms/pricing/).
Vous pouvez créer une clé AWS KMS symétrique gérée par le client à l'aide du AWS Management Console ou par programmation avec le. AWS KMS APIs
### Pour créer une clé symétrique gérée par le client
Suivez les étapes de [création d'une clé symétrique gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *guide du AWS Key Management Service développeur*.
Notez la clé Amazon Resource Name (ARN) ; vous en aurez besoin[Étape 2 : créer un AWS Secrets Manager secret](#channel-assembly-access-configuration-access-token-how-to-create-secret).
### Contexte de chiffrement
Un *contexte de chiffrement* est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.
Secrets Manager inclut un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) lors du chiffrement et du déchiffrement du. `SecretString` Le contexte de chiffrement inclut l'ARN secret, qui limite le chiffrement à ce secret spécifique. Comme mesure de sécurité supplémentaire, MediaTailor crée une AWS KMS subvention en votre nom. MediaTailor applique une [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)opération qui nous permet uniquement de *déchiffrer* l'ARN secret `SecretString` associé au contenu du contexte de chiffrement Secrets Manager.
Pour plus d'informations sur la manière dont Secrets Manager utilise le contexte de [chiffrement, consultez la rubrique Contexte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) de chiffrement du *Guide du AWS Key Management Service développeur*.
### Définition de la politique clé
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez utiliser la politique de clé par défaut. Pour plus d’informations, consultez [Authentification et contrôle d’accès pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Guide du développeur AWS Key Management Service *.
Pour utiliser votre clé gérée par le client avec vos ressources de localisation MediaTailor source, vous devez autoriser le principal IAM qui appelle [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)ou utilise [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)les opérations d'API suivantes :
+ `kms:CreateGrant`— Ajoute une autorisation à une clé gérée par le client. MediaTailor crée une autorisation sur votre clé gérée par le client qui lui permet d'utiliser la clé pour créer ou mettre à jour un emplacement source configuré avec une authentification par jeton d'accès. Pour plus d'informations sur l'utilisation de [Grants dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consultez le *guide du AWS Key Management Service développeur.*
Cela permet MediaTailor d'effectuer les opérations suivantes :
+ Appelez `Decrypt` pour qu'il puisse récupérer avec succès le secret de votre Gestionnaire de Secrets Manager lors de l'appel [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Appelez `RetireGrant` pour annuler l'autorisation lorsque l'emplacement source est supprimé ou lorsque l'accès au secret a été révoqué.
Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
Pour plus d'informations sur la définition des autorisations dans une politique et la résolution des problèmes d'accès par clé, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur*.
## Étape 2 : créer un AWS Secrets Manager secret
Utilisez Secrets Manager pour stocker votre jeton d'accès sous la forme d'un `SecretString` jeton chiffré par une clé gérée par le AWS KMS client. MediaTailorutilise la clé pour déchiffrer le`SecretString`. Pour plus d'informations sur la manière dont Secrets Manager protège les secrets, consultez la rubrique [Comment les AWS Secrets Manager utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dans le *Guide du AWS Key Management Service développeur*. AWS KMS
Si vous utilisez AWS Elemental MediaPackage comme emplacement source l'origine et que vous souhaitez utiliser l'authentification par jeton d'accès MediaTailor Secrets Manager, suivez la procédure[Intégration aux MediaPackage points de terminaison qui utilisent l'autorisation CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Vous pouvez créer un secret du Gestionnaire de Secrets à l'aide du AWS Management Console ou par programmation avec le Gestionnaire de Secrets. APIs
### Pour créer un secret
Suivez les étapes décrites AWS Secrets Manager dans le *guide de l'AWS Secrets Manager utilisateur* pour [créer et gérer des secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html).
Tenez compte des considérations suivantes lors de la création de votre secret :
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Il doit s'agir de l'[ARN de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) gérée par le client que vous avez créée à l'étape 1.
+ Vous devez fournir un [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Il doit s'agir d'un objet JSON valide qui inclut une clé et une valeur contenant le jeton d'accès. Par exemple, \$1» MyAccessTokenIdentifier « ?112233445566"\$1. La valeur doit comporter entre 8 et 128 caractères.
Lorsque vous configurez votre emplacement source avec l'authentification par jeton d'accès, vous spécifiez la `SecretString` clé. MediaTailor utilise la clé pour rechercher et récupérer le jeton d'accès stocké dans le`SecretString`.
Notez l'ARN secret et la `SecretString` clé. Vous les utiliserez lorsque vous configurerez votre emplacement source pour utiliser l'authentification par jeton d'accès.
### Joindre une politique secrète basée sur les ressources
Pour autoriser l' MediaTailor accès à la valeur secrète, vous devez lui associer une politique basée sur les ressources. Pour plus d'informations, consultez la section [Attacher une politique d'autorisations à un secret de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
Voici un exemple de déclaration de politique que vous pouvez ajouter pour MediaTailor :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Étape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès
Vous pouvez configurer l'authentification par jeton d'accès à Secrets Manager à l'aide du AWS Management Console ou par programmation avec le. MediaTailor APIs
**Pour configurer un emplacement source avec l'authentification par jeton d'accès à Secrets Manager**
Suivez les étapes décrites [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) dans le *guide de AWS Elemental MediaTailor l'utilisateur*.
# Intégration aux MediaPackage points de terminaison qui utilisent l'autorisation CDN
Si vous utilisez AWS Elemental MediaPackage comme origine de localisation source, vous MediaTailor pouvez intégrer les MediaPackage points de terminaison qui utilisent l'autorisation CDN.
Pour intégrer un MediaPackage point de terminaison qui utilise l'autorisation CDN, suivez la procédure suivante.
**Pour intégrer à MediaPackage**
1. Si ce n'est pas déjà fait, suivez les étapes décrites dans la section [Configuration de l'autorisation CDN](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html) dans le *guide de l'AWS Elemental MediaPackage utilisateur*.
1. Exécutez la procédure dans [Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
1. Modifiez le secret que vous avez créé lors de la configuration de l'autorisation du MediaPackage CDN. Modifiez le secret avec les valeurs suivantes :
+ Mettez à jour le `KmsKeyId` avec la clé ARN gérée par le client dans laquelle vous l'avez créée[Étape 1 : Création d'une clé AWS KMS symétrique gérée par le client](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
+ (Facultatif) Pour le`SecretString`, vous pouvez soit faire pivoter l'UUID vers une nouvelle valeur, soit utiliser le secret chiffré existant tant qu'il s'agit d'une paire clé/valeur au format JSON standard, tel que. `{"MediaPackageCDNIdentifier": "112233445566778899"}`
1. Suivez les étapes de [Joindre une politique secrète basée sur les ressources](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy).
1. Suivez les étapes de [Étape 3 : Configuration d'un emplacement MediaTailor source avec authentification par jeton d'accès](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth).
# Comment fonctionne l'authentification par jeton d'accès à MediaTailor Secrets Manager
Une fois que vous avez créé ou mis à jour un emplacement source pour utiliser l'authentification par jeton d'accès, MediaTailor incluez le jeton d'accès dans un en-tête HTTP lorsque vous demandez des manifestes de contenu source depuis votre origine.
Voici un aperçu de la façon dont l'authentification par jeton d'accès Secrets Manager est MediaTailor utilisée pour l'authentification de l'origine de l'emplacement de la source :
1. Lorsque vous créez ou mettez à jour un emplacement MediaTailor source qui utilise l'authentification par jeton d'accès, MediaTailor envoie une [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId)demande à Secrets Manager pour déterminer la AWS KMS clé associée au secret. Vous incluez l'ARN secret dans la configuration d'accès à votre emplacement source.
1. MediaTailor crée une [autorisation](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour la clé gérée par le client, afin que celui-ci MediaTailor puisse utiliser la clé pour accéder au jeton d'accès stocké dans le SecretString. Le nom de la subvention sera`MediaTailor-SourceLocation-your Compte AWS ID-source location name`.
Vous pouvez révoquer l'accès à l'autorisation ou supprimer MediaTailor l'accès à la clé gérée par le client à tout moment. Pour plus d’informations, consultez [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) dans la *Référence d’API AWS Key Management Service *.
1. Lorsqu'une source VOD est créée, mise à jour ou utilisée dans un programme, envoie MediaTailor des requêtes HTTP aux emplacements source pour récupérer les manifestes de contenu source associés aux sources VOD dans l'emplacement source. Si la source VOD est associée à un emplacement source pour lequel un jeton d'accès est configuré, les demandes incluent le jeton d'accès en tant que valeur d'en-tête HTTP.