Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengkonfigurasi otentikasi untuk lokasi sumber Anda
Gunakan **konfigurasi akses** untuk mengonfigurasi otentikasi lokasi sumber Anda. Saat konfigurasi akses aktif, MediaTailor hanya mengambil manifes sumber dari asal Anda jika permintaan diotorisasi antara MediaTailor dan asal Anda. Konfigurasi akses dimatikan secara default.
MediaTailor mendukung jenis otentikasi berikut:
+ SiGv4 untuk otentikasi Amazon S3
+ AWS Secrets Manager token akses
+ SiGv4 untuk otentikasi MediaPackage versi 2 (v2)
Bab ini menjelaskan cara menggunakan SiGv4 untuk Amazon S3 MediaPackage , v2, AWS Secrets Manager dan token akses untuk otentikasi lokasi sumber.
Untuk informasi lebih lanjut, pilih topik yang berlaku.
**Topics**
+ [Mengautentikasi permintaan ke Amazon S3 dengan SiGv4](channel-assembly-access-configuration-sigv4.md)
+ [Bekerja dengan SiGv4 untuk MediaPackage Versi 2](channel-assembly-access-configuration-sigv4-empv2.md)
+ [Bekerja dengan otentikasi token AWS Secrets Manager akses](channel-assembly-access-configuration-access-token.md)
# Mengautentikasi permintaan ke Amazon S3 dengan SiGv4
Signature Version 4 (SigV4) untuk Amazon S3 adalah protokol penandatanganan yang digunakan untuk mengautentikasi permintaan ke Amazon S3 melalui HTTPS. Saat Anda menggunakan SiGv4 untuk Amazon S3 MediaTailor , sertakan header otorisasi yang ditandatangani dalam permintaan HTTPS ke bucket Amazon S3 yang digunakan sebagai asal Anda. Jika header otorisasi yang ditandatangani valid, asal Anda memenuhi permintaan. Jika tidak valid, permintaan gagal.
Untuk informasi umum tentang SigV4 AWS Key Management Service, lihat topik [Permintaan Autentikasi (Versi AWS Tanda Tangan 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) di referensi API *Amazon* S3.
**catatan**
MediaTailor selalu menandatangani permintaan ke asal-usul ini dengan SiGv4.
## Persyaratan
Jika Anda mengaktifkan otentikasi SigV4 untuk Amazon S3 untuk lokasi sumber Anda, Anda harus memenuhi persyaratan ini:
+ Anda harus mengizinkan MediaTailor untuk mengakses bucket Amazon S3 Anda dengan memberikan akses utama **mediatailor.amazonaws.com** di IAM. Untuk informasi tentang mengonfigurasi akses di IAM, lihat [Manajemen akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di *AWS Identity and Access Management Panduan Pengguna*.
+ Prinsipal layanan **mediatailor.amazonaws.com** harus memiliki izin untuk membaca semua daftar putar multivarian yang direferensikan oleh konfigurasi paket sumber VOD.
+ Penelepon API harus memiliki izin **s3: GetObject** IAM untuk membaca semua daftar putar multivarian yang direferensikan oleh konfigurasi paket sumber VOD Anda. MediaTailor
+ URL basis lokasi MediaTailor sumber Anda harus mengikuti format URL permintaan gaya host virtual Amazon S3. Misalnya, https://*bucket-name*.s3. *Region*.amazonaws.com/*key-name*. [Untuk informasi tentang akses gaya virtual yang dihosting Amazon S3, lihat Permintaan Gaya Hosted Virtual.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access)
# Bekerja dengan SiGv4 untuk MediaPackage Versi 2
Signature Version 4 (SigV4) untuk MediaPackage v2 adalah protokol penandatanganan yang digunakan untuk mengautentikasi permintaan ke MediaPackage v2 melalui HTTP. Saat Anda menggunakan SigV4 untuk MediaPackage v2, MediaTailor sertakan header otorisasi yang ditandatangani dalam permintaan HTTP ke titik akhir MediaPackage v2 yang digunakan sebagai asal Anda. Jika header otorisasi yang ditandatangani valid, asal Anda memenuhi permintaan. Jika tidak valid, permintaan gagal.
Untuk informasi umum tentang SigV4 for MediaPackage v2, lihat topik [Authenticating Requests (AWS Signature Version 4)](https://docs.aws.amazon.com/mediapackage/latest/userguide/sig-v4-authenticating-requests.html) di referensi API *MediaPackage v2*.
## Persyaratan
Jika Anda mengaktifkan otentikasi SiGv4 for MediaPackage v2 untuk lokasi sumber Anda, Anda harus memenuhi persyaratan ini:
+ Anda harus mengizinkan MediaTailor untuk mengakses titik akhir MediaPackage v2 Anda dengan memberikan akses utama **mediatailor.amazonaws.com** dalam Kebijakan Akses Asal pada titik akhir.
+ URL basis lokasi MediaTailor sumber Anda harus berupa titik akhir MediaPackage v2.
+ Penelepon API harus memiliki izin **mediapackagev2: GetObject** IAM untuk membaca semua daftar putar multivarian yang direferensikan oleh konfigurasi kemasan sumber. MediaTailor
# Bekerja dengan otentikasi token AWS Secrets Manager akses
MediaTailor mendukung *otentikasi token akses Secrets Manager*. Dengan autentikasi token AWS Secrets Manager akses, MediaTailor gunakan kunci yang dikelola pelanggan AWS Key Management Service (AWS KMS) dan AWS Secrets Manager rahasia yang Anda buat, miliki, dan kelola untuk mengautentikasi permintaan ke asal Anda.
Di bagian ini, kami menjelaskan cara kerja otentikasi token akses Secrets Manager, dan memberikan step-by-step informasi tentang cara mengonfigurasi otentikasi token akses Secrets Manager. Anda dapat bekerja dengan otentikasi token akses Secrets Manager di Konsol Manajemen AWS atau secara terprogram dengan. AWS APIs
**Topics**
+ [Mengkonfigurasi otentikasi token AWS Secrets Manager akses](channel-assembly-access-configuration-access-configuring.md)
+ [Mengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [Cara kerja otentikasi token akses MediaTailor Secrets Manager](channel-assembly-access-configuration-overview.md)
# Mengkonfigurasi otentikasi token AWS Secrets Manager akses
Ketika Anda ingin menggunakan otentikasi token AWS Secrets Manager akses, Anda melakukan langkah-langkah berikut:
1. Anda [membuat kunci yang dikelola AWS Key Management Service pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. Anda [membuat AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Rahasia berisi token akses Anda, yang disimpan di Secrets Manager sebagai nilai rahasia terenkripsi. MediaTailor menggunakan kunci yang dikelola AWS KMS pelanggan untuk mendekripsi nilai rahasia.
1. Anda mengonfigurasi lokasi AWS Elemental MediaTailor sumber untuk menggunakan otentikasi token akses Secrets Manager.
Bagian berikut memberikan step-by-step panduan tentang cara mengkonfigurasi otentikasi token AWS Secrets Manager akses.
**Topics**
+ [Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Langkah 2: Buat AWS Secrets Manager rahasia](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris
Anda gunakan AWS Secrets Manager untuk menyimpan token akses Anda dalam bentuk `SecretString` disimpan dalam rahasia. `SecretString`Ini dienkripsi melalui penggunaan *kunci terkelola pelanggan AWS KMS simetris* yang Anda buat, miliki, dan kelola. MediaTailor menggunakan kunci yang dikelola pelanggan simetris untuk memfasilitasi akses ke rahasia dengan hibah, dan untuk mengenkripsi dan mendekripsi nilai rahasia.
Kunci terkelola pelanggan memungkinkan Anda melakukan tugas-tugas seperti berikut:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kunci kriptografi
+ Menambahkan tanda
Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik [Cara AWS Secrets Manager penggunaan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dalam *Panduan AWS Key Management Service Pengembang*.
Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat [Kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan Developer AWS Key Management Service *.
**catatan**
AWS KMS dikenakan biaya untuk menggunakan kunci yang dikelola pelanggan Untuk informasi selengkapnya tentang harga, lihat halaman [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/).
Anda dapat membuat kunci terkelola pelanggan AWS KMS simetris menggunakan Konsol Manajemen AWS atau secara terprogram dengan. AWS KMS APIs
### Untuk membuat kunci terkelola pelanggan simetris
Ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di *Panduan AWS Key Management Service Pengembang*.
Catat kunci Nama Sumber Daya Amazon (ARN); Anda akan membutuhkannya. [Langkah 2: Buat AWS Secrets Manager rahasia](#channel-assembly-access-configuration-access-token-how-to-create-secret)
### Konteks enkripsi
*Konteks enkripsi* adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
Secrets Manager menyertakan [konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) saat mengenkripsi dan mendekripsi file. `SecretString` Konteks enkripsi mencakup ARN rahasia, yang membatasi enkripsi ke rahasia spesifik itu. Sebagai ukuran keamanan tambahan, MediaTailor buat AWS KMS hibah atas nama Anda. MediaTailor menerapkan [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operasi yang hanya memungkinkan kita untuk *mendekripsi* yang `SecretString` terkait dengan ARN rahasia yang terkandung dalam konteks enkripsi Secrets Manager.
Untuk informasi tentang cara Secrets Manager menggunakan konteks enkripsi, lihat topik [konteks Enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) di *Panduan AWS Key Management Service Pengembang*.
### Menyetel kebijakan utama
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menggunakan kebijakan kunci default. Untuk informasi selengkapnya, lihat [Otentikasi dan kontrol akses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) di *Panduan AWS Key Management Service Pengembang*.
Untuk menggunakan kunci terkelola pelanggan dengan MediaTailor sumber daya lokasi sumber, Anda harus memberikan izin kepada prinsipal IAM yang memanggil [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)atau [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)menggunakan operasi API berikut:
+ `kms:CreateGrant`— Menambahkan hibah ke kunci yang dikelola pelanggan. MediaTailor membuat hibah pada kunci terkelola pelanggan Anda yang memungkinkannya menggunakan kunci untuk membuat atau memperbarui lokasi sumber yang dikonfigurasi dengan otentikasi token akses. Untuk informasi selengkapnya tentang penggunaan [Hibah di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), lihat *Panduan AWS Key Management Service Pengembang*.
Hal ini memungkinkan MediaTailor untuk melakukan hal berikut:
+ Panggil `Decrypt` agar berhasil mengambil rahasia Secrets Manager Anda saat menelepon [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Panggilan `RetireGrant` untuk menghentikan hibah ketika lokasi sumber dihapus, atau ketika akses ke rahasia telah dicabut.
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
*Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan dan akses kunci pemecahan masalah, lihat [Hibah di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan Pengembang.AWS Key Management Service *
## Langkah 2: Buat AWS Secrets Manager rahasia
Gunakan Secrets Manager untuk menyimpan token akses Anda dalam bentuk `SecretString` yang dienkripsi oleh kunci yang dikelola AWS KMS pelanggan. MediaTailormenggunakan kunci untuk mendekripsi. `SecretString` Untuk informasi tentang cara Secrets Manager menggunakan AWS KMS untuk melindungi rahasia, lihat topik [Cara AWS Secrets Manager penggunaan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) dalam *Panduan AWS Key Management Service Pengembang*.
Jika Anda menggunakan AWS Elemental MediaPackage sebagai sumber asal lokasi Anda, dan ingin menggunakan MediaTailor Secrets Manager Access Token Authentication ikuti prosedurnya[Mengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Anda dapat membuat rahasia Secrets Manager menggunakan Konsol Manajemen AWS atau secara terprogram dengan Secrets Manager. APIs
### Untuk membuat rahasia
Ikuti langkah-langkah untuk [Membuat dan mengelola rahasia dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
Ingatlah pertimbangan berikut saat membuat rahasia Anda:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Harus menjadi [ARN kunci](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) dari kunci yang dikelola pelanggan yang Anda buat di Langkah 1.
+ Anda harus menyediakan a [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Harus berupa objek JSON yang valid yang menyertakan kunci dan nilai yang berisi token akses. Misalnya, \$1” MyAccessTokenIdentifier “:"112233445566"\$1. Nilai harus antara 8-128 karakter.
Saat Anda mengonfigurasi lokasi sumber Anda dengan otentikasi token akses, Anda menentukan `SecretString` kuncinya. MediaTailor menggunakan kunci untuk mencari dan mengambil token akses yang disimpan di. `SecretString`
Catat rahasia ARN dan kuncinya. `SecretString` Anda akan menggunakannya saat mengonfigurasi lokasi sumber Anda untuk menggunakan otentikasi token akses.
### Melampirkan kebijakan rahasia berbasis sumber daya
Untuk mengizinkan MediaTailor akses nilai rahasia, Anda harus melampirkan kebijakan berbasis sumber daya ke rahasia. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke Rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk MediaTailor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses
Anda dapat mengonfigurasi otentikasi token akses Secrets Manager menggunakan Konsol Manajemen AWS atau secara terprogram dengan. MediaTailor APIs
**Untuk mengonfigurasi lokasi sumber dengan otentikasi token akses Secrets Manager**
Ikuti langkah-langkah untuk [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) di *Panduan AWS Elemental MediaTailor Pengguna*.
# Mengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN
Jika Anda menggunakan AWS Elemental MediaPackage sebagai asal lokasi sumber Anda, MediaTailor dapat berintegrasi dengan MediaPackage titik akhir yang menggunakan otorisasi CDN.
Untuk mengintegrasikan dengan MediaPackage titik akhir yang menggunakan otorisasi CDN, gunakan prosedur berikut.
**Untuk berintegrasi dengan MediaPackage**
1. Selesaikan langkah-langkah dalam [Menyiapkan otorisasi CDN](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html) di *Panduan AWS Elemental MediaPackage Pengguna*, jika Anda belum melakukannya.
1. Selesaikan prosedur dalam [Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
1. Ubah rahasia yang Anda buat saat mengatur otorisasi MediaPackage CDN. Ubah rahasia dengan nilai-nilai berikut:
+ Perbarui `KmsKeyId` dengan ARN kunci terkelola pelanggan yang Anda buat. [Langkah 1: Buat kunci terkelola pelanggan AWS KMS simetris](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ (Opsional) Untuk`SecretString`, Anda dapat memutar UUID ke nilai baru, atau Anda dapat menggunakan rahasia terenkripsi yang ada selama itu adalah pasangan kunci dan nilai dalam format JSON standar, seperti. `{"MediaPackageCDNIdentifier": "112233445566778899"}`
1. Selesaikan langkah-langkah dalam [Melampirkan kebijakan rahasia berbasis sumber daya](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy).
1. Selesaikan langkah-langkah dalam [Langkah 3: Konfigurasikan lokasi MediaTailor sumber dengan otentikasi token akses](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth).
# Cara kerja otentikasi token akses MediaTailor Secrets Manager
Setelah Anda membuat atau memperbarui lokasi sumber untuk menggunakan otentikasi token akses, MediaTailor sertakan token akses di header HTTP saat meminta manifes konten sumber dari asal Anda.
Berikut ikhtisar cara MediaTailor menggunakan otentikasi token akses Secrets Manager untuk otentikasi asal lokasi sumber:
1. Saat Anda membuat atau memperbarui lokasi MediaTailor sumber yang menggunakan otentikasi token akses, MediaTailor mengirimkan [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId)permintaan ke Secrets Manager untuk menentukan AWS KMS kunci yang terkait dengan rahasia tersebut. Anda menyertakan ARN rahasia dalam konfigurasi akses lokasi sumber Anda.
1. MediaTailor membuat [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk kunci yang dikelola pelanggan, sehingga MediaTailor dapat menggunakan kunci untuk mengakses dan mendekripsi token akses yang disimpan di. SecretString Nama hibah akan menjadi`MediaTailor-SourceLocation-your Akun AWS ID-source location name`.
Anda dapat mencabut akses ke hibah, atau menghapus MediaTailor akses ke kunci yang dikelola pelanggan kapan saja. Untuk informasi selengkapnya, lihat [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) di dalam *Referensi API AWS Key Management Service *.
1. Ketika sumber VOD dibuat atau diperbarui, atau digunakan dalam program, MediaTailor membuat permintaan HTTP ke lokasi sumber untuk mengambil manifes konten sumber yang terkait dengan sumber VOD di lokasi sumber. Jika sumber VOD dikaitkan dengan lokasi sumber yang memiliki token akses yang dikonfigurasi, permintaan menyertakan token akses sebagai nilai header HTTP.