Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dell'autenticazione Gestione dei segreti AWS con token di accesso
Quando desideri utilizzare l'autenticazione con token di Gestione dei segreti AWS accesso, esegui i seguenti passaggi:
1. [Crei una chiave gestita dal AWS Key Management Service cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. [Crei un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Il segreto contiene il token di accesso, che viene archiviato in Secrets Manager come valore segreto crittografato. MediaTailor utilizza la chiave gestita AWS KMS dal cliente per decrittografare il valore segreto.
1. Si configura una posizione AWS Elemental MediaTailor di origine per utilizzare l'autenticazione con token di accesso di Secrets Manager.
La sezione seguente fornisce step-by-step indicazioni su come configurare Gestione dei segreti AWS l'autenticazione con token di accesso.
**Topics**
+ [Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Fase 2: Creare un segreto Gestione dei segreti AWS](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente
Viene utilizzato Gestione dei segreti AWS per archiviare il token di accesso sotto forma di un token `SecretString` archiviato in modo segreto. `SecretString`Viene crittografato tramite l'uso di una *chiave AWS KMS simmetrica gestita dal cliente* che viene creata, posseduta e gestita dall'utente. MediaTailor utilizza la chiave simmetrica gestita dal cliente per facilitare l'accesso al segreto con una concessione e per crittografare e decrittografare il valore segreto.
Le chiavi gestite dal cliente consentono di eseguire attività come le seguenti:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Materiale a chiave crittografica rotante
+ Aggiunta di tag
Per informazioni su come Secrets Manager utilizza AWS KMS per proteggere i segreti, consulta l'argomento [How Gestione dei segreti AWS uses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) nella *AWS Key Management Service Developer Guide*.
Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Nota**
AWS KMS vengono applicati costi per l'utilizzo di una chiave gestita dal cliente Per ulteriori informazioni sui prezzi, consulta la pagina [AWS Key Management Service Prezzi](https://aws.amazon.com/kms/pricing/).
È possibile creare una chiave AWS KMS simmetrica gestita dal cliente utilizzando Console di gestione AWS o programmaticamente con. AWS KMS APIs
### Per creare una chiave simmetrica gestita dal cliente
*Segui i passaggi per la [creazione di una chiave simmetrica gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli sviluppatori.AWS Key Management Service *
Prendi nota della chiave Amazon Resource Name (ARN); ti servirà. [Fase 2: Creare un segreto Gestione dei segreti AWS](#channel-assembly-access-configuration-access-token-how-to-create-secret)
### Contesto di crittografia
Un *contesto di crittografia* è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
Secrets Manager include un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) per la crittografia e la decrittografia di. `SecretString` Il contesto di crittografia include l'ARN segreto, che limita la crittografia a quel segreto specifico. Come ulteriore misura di sicurezza, MediaTailor crea una AWS KMS concessione per tuo conto. MediaTailor applica un'[GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operazione che ci consente solo di *decrittografare* l'ARN `SecretString` associato all'ARN segreto contenuto nel contesto di crittografia Secrets Manager.
Per informazioni su come Secrets Manager utilizza il contesto di crittografia, consultate l'argomento [Encryption context](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) nella *AWS Key Management Service Developer Guide*.
### Impostazione della politica chiave
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la tua chiave gestita dai clienti, puoi utilizzare la politica delle chiavi predefinita. Per ulteriori informazioni, consulta [Autenticazione e controllo degli accessi AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare la chiave gestita dal cliente con le risorse di localizzazione di MediaTailor origine, devi concedere l'autorizzazione al responsabile IAM che effettua la chiamata [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)o [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)utilizzare le seguenti operazioni API:
+ `kms:CreateGrant`— Aggiunge una concessione a una chiave gestita dal cliente. MediaTailor crea una concessione sulla chiave gestita dal cliente che consente di utilizzare la chiave per creare o aggiornare una posizione di origine configurata con l'autenticazione con token di accesso. Per ulteriori informazioni sull'utilizzo di [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la *Guida per gli AWS Key Management Service sviluppatori*.
Ciò consente di MediaTailor effettuare le seguenti operazioni:
+ Chiama `Decrypt` in modo che possa recuperare con successo il tuo segreto di Secrets Manager durante la chiamata [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Chiama `RetireGrant` per ritirare la concessione quando la posizione di origine viene eliminata o quando l'accesso al segreto è stato revocato.
Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per: MediaTailor
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
*Per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy e sulla risoluzione dei problemi di accesso tramite chiave, consulta [Grants in AWS KMS nella Developer](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Guide.AWS Key Management Service *
## Fase 2: Creare un segreto Gestione dei segreti AWS
Usa Secrets Manager per archiviare il tuo token di accesso sotto forma di codice crittografato da una chiave gestita dal AWS KMS cliente. `SecretString` MediaTailorutilizza la chiave per decrittografare il. `SecretString` Per informazioni su come Secrets Manager utilizza AWS KMS per proteggere i segreti, consulta l'argomento [How Gestione dei segreti AWS uses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) nella *AWS Key Management Service Developer Guide*.
Se si utilizza l' AWS Elemental MediaPackage origine della posizione di origine e si desidera utilizzare l'autenticazione con token di accesso di MediaTailor Secrets Manager, seguire la procedura[Integrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
È possibile creare un segreto di Secrets Manager utilizzando Console di gestione AWS o programmaticamente con Secrets Manager. APIs
### Per creare un segreto
Segui i passaggi per [creare e gestire i segreti Gestione dei segreti AWS nella Guida](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) per l'*Gestione dei segreti AWS utente*.
Tieni a mente le seguenti considerazioni quando crei il tuo segreto:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Deve essere l'[ARN chiave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) della chiave gestita dal cliente creata nel passaggio 1.
+ È necessario fornire un [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Dovrebbe essere un oggetto JSON valido che includa una chiave e un valore contenenti il token di accesso. Ad esempio, \$1» MyAccessTokenIdentifier «:"112233445566"\$1. Il valore deve avere una lunghezza compresa tra 8 e 128 caratteri.
Quando si configura la posizione di origine con l'autenticazione tramite token di accesso, si specifica la `SecretString` chiave. MediaTailor utilizza la chiave per cercare e recuperare il token di accesso memorizzato in. `SecretString`
Prendi nota dell'ARN segreto e della `SecretString` chiave. Li utilizzerai quando configurerai la tua posizione di origine per utilizzare l'autenticazione con token di accesso.
### Allegare una politica segreta basata sulle risorse
Per consentire MediaTailor l'accesso al valore segreto, è necessario allegare al segreto una politica basata sulle risorse. Per ulteriori informazioni, consulta [Allegare una politica di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'Gestione dei segreti AWS utente*.
Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per MediaTailor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso
È possibile configurare l'autenticazione del token di accesso di Secrets Manager utilizzando Console di gestione AWS o programmaticamente con. MediaTailor APIs
**Per configurare una posizione di origine con l'autenticazione del token di accesso di Secrets Manager**
Segui i passaggi indicati [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) nella *Guida per l'AWS Elemental MediaTailor utente*.