Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia dei contenuti e DRM in AWS Elemental MediaConvert
Proteggere i contenuti da un uso non autorizzato tramite la crittografia dei dati. I sistemi di gestione dei diritti digitali (DRM) forniscono le chiavi AWS Elemental MediaConvert per la crittografia dei contenuti e le licenze per la decrittografia agli utenti supportati e ad altri consumatori.
Le seguenti sezioni forniscono indicazioni su come scegliere e implementare la crittografia dei contenuti utilizzando SPEKE for. MediaConvert
**Topics**
+ [Supporto per container e sistemi DRM con SPEKE](encryption-choosing-speke-version.md)
+ [Implementazione di SPEKE](encryption-deploying-speke.md)
+ [Parametri di crittografia SPEKE](speke-encryption-parameters.md)
+ [Preimpostazioni SPEKE v2.0](drm-content-speke-v2-presets.md)
+ [Utilizzo di chiavi di contenuto crittografate con DRM](drm-content-key-encryption.md)
+ [Risoluzione dei problemi di crittografia DRM](troubleshooting-encryption.md)
+ [Requisiti](encryption-requirements.md)
# Supporto per container e sistemi DRM con SPEKE
MediaConvert [supporta sia [SPEKE versione 1.0 che SPEKE versione 2.0](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api.html).](https://docs.aws.amazon.com/speke/latest/documentation/the-speke-api-v2.html) Per ulteriori informazioni, consulta la guida per i [partner e i clienti di SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/speke-api-specification.html).
**SPEKE v1.0 Contenitori e sistemi DRM supportati**
La tabella seguente elenca i diversi contenitori e sistemi di gestione dei diritti digitali (DRM) supportati da SPEKE versione 1.0.
**Supporto DRM SPEKE v1.0**
| | | | |
| --- |--- |--- |--- |
| Tipo di gruppo di output | Apple Fairplay | Google Widevine | Microsoft PlayReady |
| DASH | Non supportato | Supportato | Supportata |
| Apple HLS | Supportata | Non supportato | Non supportato |
| Microsoft Smooth | Non supportato | Non supportato | Supportata |
| CMAF DASH e CMAF HLS | Supportata | Supportato | Supportata |
**SPEKE v2.0 Contenitori e sistemi DRM supportati**
La tabella seguente elenca i diversi contenitori e sistemi di gestione dei diritti digitali (DRM) supportati da SPEKE versione 2.0.
**Supporto DRM SPEKE v2.0**
| | | | |
| --- |--- |--- |--- |
| Tipo di gruppo di output | Apple Fairplay | Google Widevine | Microsoft PlayReady |
| DASH | Non supportato | Supportato | Supportata |
| Apple HLS | Supportato (Sample-AES) | Supportata | Supportata |
| Microsoft Smooth | Non supportato | Non supportato | Non supportato |
| CMAF DASH e CMAF HLS | Supportato CBCS () | Supportato (CBCSeCENC) | Supportato (CBCSeCENC) |
**Sistema DRM supportato IDs**
La tabella seguente elenca i diversi [sistemi DRM IDs supportati](https://dashif.org/identifiers/content_protection/) MediaConvert .
| | | | |
| --- |--- |--- |--- |
| Sistema IDs : matrice di supporto per sistema DRM | Apple FairPlay | Google Widevine | Microsoft PlayReady |
| ID di sistema | 94ce86fb-07ff-4f43-adb8-93d2fa968ca2 | edef8ba9-79d6-4ace-a3c8-27dcd51d21ed | 9a04f079-9840-4286-ab92-e65be0885f95 |
# Implementazione di SPEKE
Il tuo fornitore di sistemi di gestione dei diritti digitali (DRM) può aiutarti a configurare l'utilizzo della crittografia DRM in. MediaConvert In genere, il provider offre un gateway SPEKE da implementare nello stesso Regione AWS luogo in cui è Account AWS in esecuzione. MediaConvert
Se devi creare il tuo API Gateway per connetterti MediaConvert al tuo servizio chiave, puoi utilizzare lo [SPEKE Reference Server](https://github.com/awslabs/speke-reference-server) disponibile su GitHub come punto di partenza.
# Parametri di crittografia SPEKE
Quando esegui la crittografia dei dati, puoi fornire i parametri di input che consentono al servizio di individuare il server delle chiavi del solutions provider DRM per eseguire l'autenticazione come utente e per richiedere le chiavi di codifica appropriate. Alcune opzioni sono disponibili solo per gruppi di output specifici.
Inserisci i parametri di crittografia SPEKE come segue:
+ **Per Resource ID, inserisci un identificatore per il contenuto.** Il servizio lo invia al server chiave per identificare l'endpoint corrente. L'unicità di ciò dipende dalla precisione con cui desideri che i controlli di accesso siano granulari. Il servizio non consente di utilizzare lo stesso ID per due processi di crittografia simultanei. L'ID risorsa è anche noto come ID del contenuto.
L'esempio seguente mostra un ID di risorsa.
```
MovieNight20171126093045
```
+ Per **System ID (ID sistema)**, immetti identificatori univoci per il protocollo di streaming e il sistema DRM. Il numero di sistema IDs che è possibile specificare varia a seconda del tipo di gruppo di output:
+ CMAF: per il **sistema IDs segnalato in DASH**, specificane almeno uno e fino a tre. IDs In **System ID signaled in HLS (ID sistema segnalato in HLS)**, specifica un ID.
+ DASH — Per **System ID**, specificane almeno uno e fino a due. IDs
+ Apple HLS: per **System ID**, specifica un ID.
Se si fornisce più di un ID sistema in un singolo campo, inserirli in righe diverse e non separarli con virgole o altri segni di punteggiatura.
Per un elenco dei sistemi comuni IDs, vedi Sistema [DASH-IF](https://dashif.org/identifiers/content_protection/). IDs Se non conosci i tuoi IDs, richiedili al tuo fornitore di soluzioni DRM.
+ Per **URL**, inserisci l'URL del proxy API Gateway che hai configurato per comunicare con il tuo server chiave. Il proxy API Gateway deve risiedere nello Regione AWS stesso MediaConvert di.
L'esempio seguente mostra un URL.
```
https://1wm2dx1f33.execute-api.us-west-2.amazonaws.com/SpekeSample/copyProtection
```
+ (Facoltativo) Per **Certificate ARN**, inserisci un ARN del certificato RSA 2048 da utilizzare per la crittografia delle chiavi di contenuto. Utilizza questa opzione solo se il provider delle chiavi DRM supporta la crittografia delle chiavi dei contenuti. In caso contrario, la richiesta non andrà a buon fine.
Per inserire un ARN di certificato qui, devi aver già importato il certificato corrispondente AWS Certificate Manager, inserito l'ARN del certificato da ACM nel riquadro MediaConvert **Certificati** e associato a. MediaConvert Per ulteriori informazioni, consulta [Utilizzo di chiavi di contenuto crittografate con DRM](drm-content-key-encryption.md).
Il seguente esempio mostra un ARN di certificato.
```
arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e
```
**Per crittografare i contenuti utilizzando SPEKE v1.0 utilizzando la console: MediaConvert**
1. Configura il processo di transcodifica come sempre. Per ulteriori informazioni, consulta [Tutorial: Configurazione delle impostazioni del lavoro](setting-up-a-job.md).
1. Nella pagina **Crea lavoro**, nel riquadro **Job** a sinistra, in **Gruppi di output**, scegli un gruppo di output per cui desideri abilitare la crittografia.
1. Attiva la **DRM encryption (Crittografia DRM)**.
1. Per i gruppi di output **CMAF** e **Apple HLS** scegliere il metodo di crittografia. Verifica di scegliere un metodo di crittografia che funziona con il sistema DRM che utilizzi.
Per i gruppi di output **DASH ISO** e **MS Smooth**, non viene specificato il metodo di crittografia. MediaConvert utilizza sempre la crittografia AES-CTR (AES-128) con questi gruppi di output.
1. Per i gruppi di output **CMAF** e **Apple HLS** scegliere l'origine per la chiave di crittografia dei contenuti. In **Key provider type (Tipo di provider di chiavi)**, scegliere **SPEKE (SPEKE)** per eseguire la crittografia con una chiave fornita dal solutions provider DRM oppure scegliere **Static Key (Chiave statica)** per inserire una chiave personale.
Per i gruppi di output **DASH ISO** e **MS Smooth** non è necessario specificare l'origine per la chiave di crittografia dei contenuti. Con questi gruppi di output, MediaConvert esegue DRM solo con un fornitore di chiavi conforme a SPEKE.
+ Per **SPEKE**, compila i campi dei parametri di crittografia.
+ **Per Static Key, vedi sotto.** [Parametri di crittografia a chiave statica](#static-key-encryption-parameters)
## Opzioni di configurazione aggiuntive per Apple HLS e CMAF
+ (Facoltativo) Per il **vettore di inizializzazione Constant, immettete** un valore esadecimale a 128 bit e 16 byte rappresentato da una stringa di 32 caratteri, da utilizzare con la chiave per crittografare il contenuto.
## Parametri di crittografia a chiave statica
Di seguito sono elencate le opzioni di crittografia per le chiavi statiche:
+ **Valore della chiave statica**: una stringa valida per crittografare il contenuto.
+ **URL: l'**URL da includere nel manifesto in modo che i dispositivi del lettore possano decrittografare il contenuto.
# Preimpostazioni SPEKE v2.0
La versione 2.0 di SPEKE supporta l'uso di chiavi di crittografia multiple e distinte per le tracce audio e video. MediaConvert utilizza i **preset** per configurare la crittografia. L' MediaConvert API definisce questi preset. I preset mappano le chiavi di crittografia su tracce audio o video specifiche, in base al numero di canali per le tracce audio e in base alla risoluzione video per le tracce video. MediaConvert utilizza combinazioni specifiche di impostazioni predefinite di crittografia audio e video per supportare tre diversi scenari di crittografia:
+ [Scenario 1: tracce non crittografate e tracce crittografate](#drm-content-speke-v2-presets-unencrypted-and-encrypted-tracks)
+ [Scenario 2: chiave di crittografia singola per tutte le tracce audio e video](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks)
+ [Scenario 3: chiavi di crittografia multiple per tracce audio e video](#drm-content-speke-v2-presets-multiple-encryption-keys-for-audio-and-video-tracks)
## Scenario 1: tracce non crittografate e tracce crittografate
**È possibile scegliere di *non* crittografare le tracce audio o video selezionando la preimpostazione **UNENCRYPTED nei menu preimpostati** di **crittografia video o i menu preimpostati di crittografia** Audio.** Non potete selezionare **UNENCRYPTED sia per i preset audio che per quelli video, perché così facendo non intendete cifrare** alcuna traccia. Inoltre, non puoi combinare i preset **UNENCRYPTED** e **SHARED** per audio e video, perché **SHARED** è un preset speciale. Per ulteriori informazioni, consulta [Scenario 2: chiave di crittografia singola per tutte le tracce audio e video](#drm-content-speke-v2-presets-single-encryption-key-for-all-tracks).
**L'elenco seguente descrive combinazioni valide di preimpostazioni UNENCRYPTED:**
+ **UNENCRYPTED** per le tracce audio e qualsiasi preimpostazione video con un nome che inizia con `PRESET_VIDEO_`
+ **NON CRITTOGRAFATO** per le tracce video e qualsiasi preimpostazione audio con un nome che inizia con `PRESET_AUDIO_`
## Scenario 2: chiave di crittografia singola per tutte le tracce audio e video
La preimpostazione **SHARED** SPEKE versione 2.0 utilizza un'unica chiave di crittografia per tutte le tracce audio e video, come nella versione SPEKE 1.0. Quando selezionate la preimpostazione **SHARED**, selezionatela per la crittografia audio e video.
## Scenario 3: chiavi di crittografia multiple per tracce audio e video
Quando utilizzate una preimpostazione con un nome che inizia con `PRESET_VIDEO_` o`PRESET_AUDIO_`, MediaConvert cripta le tracce audio e le tracce video con il numero di chiavi di crittografia definito dalla preimpostazione specifica. Le tabelle seguenti mostrano quante chiavi MediaConvert richieste dal key server e come tali chiavi vengono mappate alle tracce. Se nessuna traccia corrisponde ai criteri per una particolare chiave, MediaConvert non utilizza quella chiave per crittografare alcuna traccia.
MediaConvert cripta solo le tracce trickplay con i-Frame con la chiave corrispondente alla loro risoluzione.
Nella tabella seguente, il valore del **nome della chiave** è il valore dell'`ContentKeyUsageRule@IntendedTrackType`attributo MediaConvert utilizzato nel documento CPIX. Viene inviato al server SPEKE per una chiave di contenuto specifica.
**Preimpostazioni di crittografia video**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/mediaconvert/latest/ug/drm-content-speke-v2-presets.html)
Nella tabella seguente, il valore del **nome chiave** è il valore dell'`ContentKeyUsageRule@IntendedTrackType`attributo MediaConvert utilizzato nel documento CPIX. Viene inviato al server SPEKE per una chiave di contenuto specifica.
**Preimpostazioni di crittografia audio**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/mediaconvert/latest/ug/drm-content-speke-v2-presets.html)
Ora sai come MediaConvert supporta i preset SPEKE versione 2.0 per tracce non crittografate e tracce crittografate. Con questi preset, puoi utilizzare un'unica chiave di crittografia per tutte le tracce audio e video e più chiavi di crittografia per le tracce audio e video.
# Utilizzo di chiavi di contenuto crittografate con DRM
Per la soluzione di crittografia DRM più sicura, utilizza le chiavi di contenuti crittografate oltre al contenuto crittografato. Per utilizzare le chiavi di contenuto crittografate, è necessario importare i certificati appropriati in AWS Certificate Manager (ACM) e quindi prepararli per l'uso con. AWS Elemental MediaConvert Per ulteriori informazioni su ACM, consulta la [Guida per l’utente di AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/).
Esegui AWS Certificate Manager nella stessa regione in cui corri AWS Elemental MediaConvert.
**Per preparare un certificato per la crittografia delle chiavi di contenuti DRM**
1. Ottenere un certificato firmato 2048 RSA, SHA-512.
1. Apri la console ACM all'indirizzo [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).
1. Importa il certificato in ACM seguendo le istruzioni riportate in [Importazione](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) di certificati in. AWS Certificate Manager Prendi nota dell'ARN del certificato, perché sarà necessario in una fase successiva.
Per essere utilizzato nella crittografia DRM, il certificato deve avere lo stato **Emesso** in ACM.
1. Apri la MediaConvert console all'indirizzo. [https://console.aws.amazon.com/mediaconvert/](https://console.aws.amazon.com/mediaconvert/)
1. Nel riquadro di navigazione, in **Certificates (Certificati)**, inserire l'ARN del certificato e poi selezionare **Associate certificate (Associa certificato)**.
**Per trovare i certificati associati a AWS Elemental MediaConvert**
Nella console ACM, elenca e visualizza i tuoi certificati per trovare quelli a cui ti sei associato MediaConvert. Nella sezione **Dettagli** della descrizione del certificato, puoi vedere l' MediaConvert associazione e recuperare l'ARN del certificato. [Per ulteriori informazioni, consulta [Elenca i certificati gestiti da ACM e Descrivi i certificati](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-list.html) ACM.](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-describe.html)
**Per utilizzare un certificato in AWS Elemental MediaConvert**
Quando utilizzi la crittografia DRM, fornisci uno dei certificati associati ARNs nei parametri di crittografia SPEKE. Questa operazione abilita la crittografia delle chiavi di contenuti. Si può utilizzare lo stesso ARN di certificato per più processi. Per informazioni, consulta [Supporto per container e sistemi DRM con SPEKE](encryption-choosing-speke-version.md).
**Per rinnovare un certificato**
Per rinnovare un certificato a cui sei associato AWS Elemental MediaConvert, reimportalo in. AWS Certificate Manager Il certificato viene rinnovato senza alcuna interruzione del suo utilizzo in MediaConvert.
**Eliminazione di un certificato**
Per eliminare un certificato da AWS Certificate Manager, devi prima dissociarlo da qualsiasi altro servizio. **Per dissociare un certificato AWS Elemental MediaConvert, copia l'ARN del certificato da ACM, vai al riquadro MediaConvert **Certificati**, inserisci l'ARN del certificato, quindi scegli Dissocia certificato.**
# Risoluzione dei problemi di crittografia DRM
Se il server delle chiavi del sistema DRM non è disponibile quando AWS Elemental MediaConvert richiede le chiavi, la console visualizza il seguente messaggio: Server delle chiavi non disponibile.
La crittografia delle chiavi dei contenuti aumenta il livello di complessità dei propri processi. Se dovessero riscontrarsi problemi in un processo con la crittografia delle chiavi dei contenuti attiva, bisognerà rimuovere l'ARN del certificato dalle impostazioni del processo e risolvere con la distribuzione di chiavi non crittografate. Dopodiché, occorrerà reimmettere l'ARN del certificato e riavviare il processo.
Se contattate il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/) per la risoluzione dei problemi, tenete a disposizione le seguenti informazioni:
+ Regione in cui è stato eseguito il processo
+ Job ID
+ ID account
+ Nome del solutions provider DRM
+ Eventuali altri dettagli sul problema riscontrato che potrebbero essere utili per la risoluzione dei problemi
# Requisiti
Quando implementi la crittografia dei contenuti per MediaConvert, fai riferimento alle seguenti limitazioni e requisiti:
+ Utilizzate l'API AWS Secure Packager and Encoder Key Exchange (SPEKE) per facilitare l'integrazione con un provider di sistemi di gestione dei diritti digitali (DRM). Per informazioni su SPEKE, vedi [Cos'è Secure Packager](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html) and Encoder Key Exchange?
+ Il fornitore del sistema DRM deve supportare SPEKE. Per un elenco dei provider DRM che supportano SPEKE, consulta l'argomento [Get on board with a DRM Platform Provider](https://docs.aws.amazon.com/speke/latest/documentation/customer-onboarding.html#choose-drm-provider) nella guida *SPEKE* per partner e clienti. Il tuo provider DRM può aiutarti a configurare l'uso della crittografia DRM in. MediaConvert