Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengkonfigurasi otentikasi token AWS Secrets Manager akses
<a name="channel-assembly-access-configuration-access-configuring"></a>

Ketika Anda ingin menggunakan otentikasi token AWS Secrets Manager akses, Anda melakukan langkah-langkah berikut:

1. Anda [membuat kunci yang dikelola AWS Key Management Service pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html). 

1. Anda [membuat AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Rahasia berisi token akses Anda, yang disimpan di Secrets Manager sebagai nilai rahasia terenkripsi. MediaTailor menggunakan kunci yang dikelola AWS KMS pelanggan untuk mendekripsi nilai rahasia.

1. Anda mengonfigurasi lokasi AWS Elemental MediaTailor sumber untuk menggunakan otentikasi token akses Secrets Manager.

Bagian berikut memberikan step-by-step panduan tentang cara mengkonfigurasi otentikasi token AWS Secrets Manager akses.

**Topics**
+ [Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Langkah 2: Buat AWS Secrets Manager rahasia](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)

## Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris
<a name="channel-assembly-access-configuration-access-token-how-to-create-kms"></a>

Anda gunakan AWS Secrets Manager untuk menyimpan token akses Anda dalam bentuk `SecretString` disimpan dalam rahasia. `SecretString`Ini dienkripsi melalui penggunaan *kunci terkelola pelanggan AWS KMS simetris* yang Anda buat, miliki, dan kelola. MediaTailor menggunakan kunci yang dikelola pelanggan simetris untuk memfasilitasi akses ke rahasia dengan hibah, dan untuk mengenkripsi dan mendekripsi nilai rahasia. 

Kunci terkelola pelanggan memungkinkan Anda melakukan tugas-tugas seperti berikut:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kunci kriptografi
+ Menambahkan tanda

  Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik [Cara AWS Secrets Manager penggunaan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dalam *Panduan AWS Key Management Service Pengembang*.

  Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat [Kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan Developer AWS Key Management Service *.

**catatan**  
AWS KMS dikenakan biaya untuk menggunakan kunci yang dikelola pelanggan Untuk informasi selengkapnya tentang harga, lihat halaman [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/).

Anda dapat membuat kunci terkelola pelanggan AWS KMS simetris menggunakan Konsol Manajemen AWS atau secara terprogram dengan. AWS KMS APIs

### Untuk membuat kunci terkelola pelanggan simetris
<a name="channel-assembly-access-configuration-access-token-create-symmetric-key"></a>

Ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di *Panduan AWS Key Management Service Pengembang*.

Catat kunci Nama Sumber Daya Amazon (ARN); Anda akan membutuhkannya. [Langkah 2: Buat AWS Secrets Manager rahasia](#channel-assembly-access-configuration-access-token-how-to-create-secret)

### Konteks enkripsi
<a name="channel-assembly-access-configuration-access-token-encryption-context"></a>

*Konteks enkripsi* adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

Secrets Manager menyertakan [konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) saat mengenkripsi dan mendekripsi file. `SecretString` Konteks enkripsi mencakup ARN rahasia, yang membatasi enkripsi ke rahasia spesifik itu. Sebagai ukuran keamanan tambahan, MediaTailor buat AWS KMS hibah atas nama Anda. MediaTailor menerapkan [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operasi yang hanya memungkinkan kita untuk *mendekripsi* yang `SecretString` terkait dengan ARN rahasia yang terkandung dalam konteks enkripsi Secrets Manager.

Untuk informasi tentang cara Secrets Manager menggunakan konteks enkripsi, lihat topik [konteks Enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) di *Panduan AWS Key Management Service Pengembang*. 

### Menyetel kebijakan utama
<a name="channel-assembly-access-configuration-access-token-key-policy"></a>

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menggunakan kebijakan kunci default. Untuk informasi selengkapnya, lihat [Otentikasi dan kontrol akses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) di *Panduan AWS Key Management Service Pengembang*.

Untuk menggunakan kunci terkelola pelanggan dengan MediaTailor sumber daya lokasi sumber, Anda harus memberikan izin kepada prinsipal IAM yang memanggil [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)atau [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)menggunakan operasi API berikut:
+ `kms:CreateGrant`— Menambahkan hibah ke kunci yang dikelola pelanggan. MediaTailor membuat hibah pada kunci terkelola pelanggan Anda yang memungkinkannya menggunakan kunci untuk membuat atau memperbarui lokasi sumber yang dikonfigurasi dengan otentikasi token akses. Untuk informasi selengkapnya tentang penggunaan [Hibah di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), lihat *Panduan AWS Key Management Service Pengembang*.

  Hal ini memungkinkan MediaTailor untuk melakukan hal berikut:
  + Panggil `Decrypt` agar berhasil mengambil rahasia Secrets Manager Anda saat menelepon [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
  + Panggilan `RetireGrant` untuk menghentikan hibah ketika lokasi sumber dihapus, atau ketika akses ke rahasia telah dicabut.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:

```
{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}
```

*Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan dan akses kunci pemecahan masalah, lihat [Hibah di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan Pengembang.AWS Key Management Service *

## Langkah 2: Buat AWS Secrets Manager rahasia
<a name="channel-assembly-access-configuration-access-token-how-to-create-secret"></a>

Gunakan Secrets Manager untuk menyimpan token akses Anda dalam bentuk `SecretString` yang dienkripsi oleh kunci yang dikelola AWS KMS pelanggan. MediaTailormenggunakan kunci untuk mendekripsi. `SecretString` Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik [Cara AWS Secrets Manager penggunaan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dalam *Panduan AWS Key Management Service Pengembang*.

Jika Anda menggunakan AWS Elemental MediaPackage sebagai sumber asal lokasi Anda, dan ingin menggunakan MediaTailor Secrets Manager Access Token Authentication ikuti prosedurnya[Mengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).

Anda dapat membuat rahasia Secrets Manager menggunakan Konsol Manajemen AWS atau secara terprogram dengan Secrets Manager. APIs

### Untuk membuat rahasia
<a name="channel-assembly-access-configuration-access-token-create-secret"></a>

Ikuti langkah-langkah untuk [Membuat dan mengelola rahasia dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.

Ingatlah pertimbangan berikut saat membuat rahasia Anda:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Harus menjadi [ARN kunci](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) dari kunci yang dikelola pelanggan yang Anda buat di Langkah 1.
+ Anda harus menyediakan a [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Harus berupa objek JSON yang valid yang menyertakan kunci dan nilai yang berisi token akses. Misalnya, \$1” MyAccessTokenIdentifier “:"112233445566"\$1. Nilai harus antara 8-128 karakter.

  Saat Anda mengonfigurasi lokasi sumber Anda dengan otentikasi token akses, Anda menentukan `SecretString` kuncinya. MediaTailor menggunakan kunci untuk mencari dan mengambil token akses yang disimpan di. `SecretString`

  Catat rahasia ARN dan kuncinya. `SecretString` Anda akan menggunakannya saat mengonfigurasi lokasi sumber Anda untuk menggunakan otentikasi token akses.

### Melampirkan kebijakan rahasia berbasis sumber daya
<a name="channel-assembly-access-configuration-access-token-secret-policy"></a>

Untuk mengizinkan MediaTailor akses nilai rahasia, Anda harus melampirkan kebijakan berbasis sumber daya ke rahasia. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke Rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name" 
        } 
    ] 

}
```

------

## Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses
<a name="channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth"></a>

Anda dapat mengonfigurasi otentikasi token akses Secrets Manager menggunakan Konsol Manajemen AWS atau secara terprogram dengan. MediaTailor APIs

**Untuk mengonfigurasi lokasi sumber dengan otentikasi token akses Secrets Manager**

Ikuti langkah-langkah untuk [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) di *Panduan AWS Elemental MediaTailor Pengguna*.