Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione dell'autenticazione per la posizione di origine
<a name="channel-assembly-source-locations-access-configuration"></a>

Usa la **configurazione di accesso** per configurare l'autenticazione per la tua posizione di origine. Quando la configurazione di accesso è attiva, recupera i manifesti di origine MediaTailor solo se la richiesta è autorizzata tra MediaTailor e l'origine. La configurazione degli accessi è disattivata per impostazione predefinita.

MediaTailor supporta i seguenti tipi di autenticazione:
+ SigV4 per l'autenticazione Amazon S3
+ Gestione dei segreti AWS token di accesso
+ SigV4 per l'autenticazione della MediaPackage versione 2 (v2)

 Questo capitolo spiega come utilizzare SigV4 per Amazon S3 MediaPackage , v2 Gestione dei segreti AWS e i token di accesso per l'autenticazione della posizione di origine.

 Per ulteriori informazioni, seleziona l'argomento pertinente.

**Topics**
+ [Autenticazione delle richieste su Amazon S3 con SigV4](channel-assembly-access-configuration-sigv4.md)
+ [Lavorare con SigV4 per la versione 2 MediaPackage](channel-assembly-access-configuration-sigv4-empv2.md)
+ [Gestione dei segreti AWS Lavorare con l'autenticazione tramite token di accesso](channel-assembly-access-configuration-access-token.md)

# Autenticazione delle richieste su Amazon S3 con SigV4
<a name="channel-assembly-access-configuration-sigv4"></a>

Signature Version 4 (SigV4) per Amazon S3 è un protocollo di firma utilizzato per autenticare le richieste ad Amazon S3 tramite HTTPS. Quando usi SigV4 per Amazon S3 MediaTailor , include un'intestazione di autorizzazione firmata nella richiesta HTTPS al bucket Amazon S3 utilizzato come origine. Se l'intestazione di autorizzazione firmata è valida, la tua origine soddisfa la richiesta. Se non è valida, la richiesta ha esito negativo.

 *Per informazioni generali su SigV4 for AWS Key Management Service, consulta l'argomento [Authenticating Requests (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) nel riferimento all'API Amazon S3.* 

**Nota**  
MediaTailor firma sempre le richieste verso queste origini con SigV4.

## Requisiti
<a name="channel-assembly-access-configuration-sigv4-how-to"></a>

 Se attivi l'autenticazione SigV4 per Amazon S3 per la tua posizione di origine, devi soddisfare questi requisiti: 
+ Devi consentire l'accesso MediaTailor al tuo bucket Amazon S3 concedendo l'accesso principale a **mediatailor.amazonaws.com** in IAM. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)
+ Il responsabile del servizio **mediatailor.amazonaws.com** deve disporre delle autorizzazioni per leggere tutte le playlist multivarianti a cui fanno riferimento le configurazioni del pacchetto sorgente VOD.
+ **Il chiamante dell'API deve disporre delle autorizzazioni s3: IAM per leggere tutte le playlist multivarianti a cui fanno riferimento le configurazioni del pacchetto sorgente VOD. GetObject** MediaTailor 
+ L'URL di base della posizione di MediaTailor origine deve seguire il formato URL di richiesta in stile hosting virtuale Amazon S3. Ad esempio, https://.s3. *bucket-name* *Region*.amazonaws.com/. *key-name* [Per informazioni sull'accesso in stile virtuale ospitato da Amazon S3, consulta Richieste in stile hosting virtuale.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access)

# Lavorare con SigV4 per la versione 2 MediaPackage
<a name="channel-assembly-access-configuration-sigv4-empv2"></a>

Signature Version 4 (SigV4) per MediaPackage v2 è un protocollo di firma utilizzato per autenticare le richieste verso v2 tramite HTTP. MediaPackage Quando si utilizza SigV4 per MediaPackage v2, MediaTailor include un'intestazione di autorizzazione firmata nella richiesta HTTP all'endpoint v2 utilizzato come origine. MediaPackage Se l'intestazione di autorizzazione firmata è valida, l'origine soddisfa la richiesta. Se non è valida, la richiesta ha esito negativo.

 *Per informazioni generali su SigV4 per MediaPackage v2, consulta l'argomento [Authenticating Requests (AWS Signature Version 4)](https://docs.aws.amazon.com/mediapackage/latest/userguide/sig-v4-authenticating-requests.html) nel riferimento all'API v2. MediaPackage *

## Requisiti
<a name="channel-assembly-access-configuration-sigv4-empv2-how-to"></a>

 Se attivi SigV4 per l'autenticazione MediaPackage v2 per la tua posizione di origine, devi soddisfare questi requisiti: 
+ Devi consentire l'accesso MediaTailor al tuo endpoint MediaPackage v2 concedendo l'accesso principale a **mediatailor.amazonaws.com** in base a una politica di Origin Access sull'endpoint.
+ L'URL di MediaPackage base della posizione di origine MediaTailor deve essere un endpoint v2.
+ Il chiamante dell'API deve disporre delle autorizzazioni **mediapackagev2: GetObject** IAM per leggere tutte le playlist multivarianti a cui fanno riferimento le configurazioni del pacchetto di origine. MediaTailor 

# Gestione dei segreti AWS Lavorare con l'autenticazione tramite token di accesso
<a name="channel-assembly-access-configuration-access-token"></a>

MediaTailor supporta l'*autenticazione con token di accesso di Secrets Manager*. Con Gestione dei segreti AWS l'autenticazione con token di accesso, MediaTailor utilizza una chiave AWS Key Management Service (AWS KMS) gestita dal cliente e un Gestione dei segreti AWS segreto creato, posseduto e gestito dall'utente per autenticare le richieste all'origine.

In questa sezione, spieghiamo come funziona l'autenticazione tramite token di accesso di Secrets Manager e forniamo step-by-step informazioni su come configurare l'autenticazione tramite token di accesso di Secrets Manager. È possibile utilizzare l'autenticazione del token di accesso di Secrets Manager in Console di gestione AWS o programmaticamente con. AWS APIs

**Topics**
+ [Configurazione dell'autenticazione Gestione dei segreti AWS con token di accesso](channel-assembly-access-configuration-access-configuring.md)
+ [Integrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [Come funziona l'autenticazione con token di accesso di MediaTailor Secrets Manager](channel-assembly-access-configuration-overview.md)

# Configurazione dell'autenticazione Gestione dei segreti AWS con token di accesso
<a name="channel-assembly-access-configuration-access-configuring"></a>

Quando desideri utilizzare l'autenticazione con token di Gestione dei segreti AWS accesso, esegui i seguenti passaggi:

1. [Crei una chiave gestita dal AWS Key Management Service cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html). 

1. [Crei un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). Il segreto contiene il token di accesso, che viene archiviato in Secrets Manager come valore segreto crittografato. MediaTailor utilizza la chiave gestita AWS KMS dal cliente per decrittografare il valore segreto.

1. Si configura una posizione AWS Elemental MediaTailor di origine per utilizzare l'autenticazione con token di accesso di Secrets Manager.

La sezione seguente fornisce step-by-step indicazioni su come configurare Gestione dei segreti AWS l'autenticazione con token di accesso.

**Topics**
+ [Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Fase 2: Creare un segreto Gestione dei segreti AWS](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)

## Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente
<a name="channel-assembly-access-configuration-access-token-how-to-create-kms"></a>

Viene utilizzato Gestione dei segreti AWS per archiviare il token di accesso sotto forma di un token `SecretString` archiviato in modo segreto. `SecretString`Viene crittografato tramite l'uso di una *chiave AWS KMS simmetrica gestita dal cliente* che viene creata, posseduta e gestita dall'utente. MediaTailor utilizza la chiave simmetrica gestita dal cliente per facilitare l'accesso al segreto con una concessione e per crittografare e decrittografare il valore segreto. 

Le chiavi gestite dal cliente consentono di eseguire attività come le seguenti:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Materiale a chiave crittografica rotante
+ Aggiunta di tag 

  Per informazioni su come Secrets Manager utilizza AWS KMS per proteggere i segreti, consulta l'argomento [How Gestione dei segreti AWS uses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) nella *AWS Key Management Service Developer Guide*.

  Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.

**Nota**  
AWS KMS vengono applicati costi per l'utilizzo di una chiave gestita dal cliente Per ulteriori informazioni sui prezzi, consulta la pagina [AWS Key Management Service Prezzi](https://aws.amazon.com/kms/pricing/).

È possibile creare una chiave AWS KMS simmetrica gestita dal cliente utilizzando Console di gestione AWS o programmaticamente con. AWS KMS APIs

### Per creare una chiave simmetrica gestita dal cliente
<a name="channel-assembly-access-configuration-access-token-create-symmetric-key"></a>

*Segui i passaggi per la [creazione di una chiave simmetrica gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli sviluppatori.AWS Key Management Service *

Prendi nota della chiave Amazon Resource Name (ARN); ti servirà. [Fase 2: Creare un segreto Gestione dei segreti AWS](#channel-assembly-access-configuration-access-token-how-to-create-secret)

### Contesto di crittografia
<a name="channel-assembly-access-configuration-access-token-encryption-context"></a>

Un *contesto di crittografia* è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

Secrets Manager include un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) per la crittografia e la decrittografia di. `SecretString` Il contesto di crittografia include l'ARN segreto, che limita la crittografia a quel segreto specifico. Come ulteriore misura di sicurezza, MediaTailor crea una AWS KMS concessione per tuo conto. MediaTailor applica un'[GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operazione che ci consente solo di *decrittografare* l'ARN `SecretString` associato all'ARN segreto contenuto nel contesto di crittografia Secrets Manager.

Per informazioni su come Secrets Manager utilizza il contesto di crittografia, consultate l'argomento [Encryption context](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) nella *AWS Key Management Service Developer Guide*. 

### Impostazione della politica chiave
<a name="channel-assembly-access-configuration-access-token-key-policy"></a>

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la tua chiave gestita dai clienti, puoi utilizzare la politica delle chiavi predefinita. Per ulteriori informazioni, consulta [Autenticazione e controllo degli accessi AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

Per utilizzare la chiave gestita dal cliente con le risorse di localizzazione di MediaTailor origine, devi concedere l'autorizzazione al responsabile IAM che effettua la chiamata [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)o [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)utilizzare le seguenti operazioni API:
+ `kms:CreateGrant`— Aggiunge una concessione a una chiave gestita dal cliente. MediaTailor crea una concessione sulla chiave gestita dal cliente che consente di utilizzare la chiave per creare o aggiornare una posizione di origine configurata con l'autenticazione con token di accesso. Per ulteriori informazioni sull'utilizzo di [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la *Guida per gli AWS Key Management Service sviluppatori*.

  Ciò consente di MediaTailor effettuare le seguenti operazioni:
  + Chiama `Decrypt` in modo che possa recuperare con successo il tuo segreto di Secrets Manager durante la chiamata [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
  + Chiama `RetireGrant` per ritirare la concessione quando la posizione di origine viene eliminata o quando l'accesso al segreto è stato revocato.

Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per: MediaTailor

```
{
        "Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
        "Effect": "Allow",
        "Principal": {
        "AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
    },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:ViaService": "mediatailor.region.amazonaws.com"
        }
    }
}
```

*Per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy e sulla risoluzione dei problemi di accesso tramite chiave, consulta [Grants in AWS KMS nella Developer](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Guide.AWS Key Management Service *

## Fase 2: Creare un segreto Gestione dei segreti AWS
<a name="channel-assembly-access-configuration-access-token-how-to-create-secret"></a>

Usa Secrets Manager per archiviare il tuo token di accesso sotto forma di codice crittografato da una chiave gestita dal AWS KMS cliente. `SecretString` MediaTailorutilizza la chiave per decrittografare il. `SecretString` Per informazioni su come Secrets Manager utilizza AWS KMS per proteggere i segreti, consulta l'argomento [How Gestione dei segreti AWS uses AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) nella *AWS Key Management Service Developer Guide*.

Se si utilizza l' AWS Elemental MediaPackage origine della posizione di origine e si desidera utilizzare l'autenticazione con token di accesso di MediaTailor Secrets Manager, seguire la procedura[Integrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).

È possibile creare un segreto di Secrets Manager utilizzando Console di gestione AWS o programmaticamente con Secrets Manager. APIs

### Per creare un segreto
<a name="channel-assembly-access-configuration-access-token-create-secret"></a>

Segui i passaggi per [creare e gestire i segreti Gestione dei segreti AWS nella Guida](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) per l'*Gestione dei segreti AWS utente*.

Tieni a mente le seguenti considerazioni quando crei il tuo segreto:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Deve essere l'[ARN chiave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) della chiave gestita dal cliente creata nel passaggio 1.
+ È necessario fornire un [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Dovrebbe essere un oggetto JSON valido che includa una chiave e un valore contenenti il token di accesso. Ad esempio, \$1» MyAccessTokenIdentifier «:"112233445566"\$1. Il valore deve avere una lunghezza compresa tra 8 e 128 caratteri.

  Quando si configura la posizione di origine con l'autenticazione tramite token di accesso, si specifica la `SecretString` chiave. MediaTailor utilizza la chiave per cercare e recuperare il token di accesso memorizzato in. `SecretString`

  Prendi nota dell'ARN segreto e della `SecretString` chiave. Li utilizzerai quando configurerai la tua posizione di origine per utilizzare l'autenticazione con token di accesso.

### Allegare una politica segreta basata sulle risorse
<a name="channel-assembly-access-configuration-access-token-secret-policy"></a>

Per consentire MediaTailor l'accesso al valore segreto, è necessario allegare al segreto una politica basata sulle risorse. Per ulteriori informazioni, consulta [Allegare una politica di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'Gestione dei segreti AWS utente*.

Di seguito è riportato un esempio di dichiarazione politica che è possibile aggiungere per MediaTailor:

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediatailor.amazonaws.com" 
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name" 
        } 
    ] 

}
```

------

## Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso
<a name="channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth"></a>

È possibile configurare l'autenticazione del token di accesso di Secrets Manager utilizzando Console di gestione AWS o programmaticamente con. MediaTailor APIs

**Per configurare una posizione di origine con l'autenticazione del token di accesso di Secrets Manager**

Segui i passaggi indicati [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) nella *Guida per l'AWS Elemental MediaTailor utente*.

# Integrazione con MediaPackage endpoint che utilizzano l'autorizzazione CDN
<a name="channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth"></a>

Se la utilizzi AWS Elemental MediaPackage come posizione di origine, MediaTailor puoi integrarla con gli MediaPackage endpoint che utilizzano l'autorizzazione CDN.

Per l'integrazione con un MediaPackage endpoint che utilizza l'autorizzazione CDN, utilizzare la seguente procedura.<a name="channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth-procedure"></a>

**Per l'integrazione con MediaPackage**

1. Completa i passaggi descritti in [Configurazione dell'autorizzazione CDN](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html) nella *Guida per l'AWS Elemental MediaPackage utente*, se non l'hai già fatto.

1. Completare la procedura [Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).

1. Modifica il segreto che hai creato quando configuri l'autorizzazione MediaPackage CDN. Modifica il segreto con i seguenti valori:
   + Aggiorna l'ARN `KmsKeyId` con la chiave gestita dal cliente in cui hai creato. [Fase 1: Creare una chiave AWS KMS simmetrica gestita dal cliente](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms) 
   + (Facoltativo) Per`SecretString`, puoi ruotare l'UUID su un nuovo valore oppure puoi utilizzare il segreto crittografato esistente purché si tratti di una coppia chiave-valore in un formato JSON standard, ad esempio. `{"MediaPackageCDNIdentifier": "112233445566778899"}`

1. Completa le fasi descritte in [Allegare una politica segreta basata sulle risorse](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy).

1. Completa le fasi descritte in [Passaggio 3: Configurare una posizione di MediaTailor origine con l'autenticazione tramite token di accesso](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth).

# Come funziona l'autenticazione con token di accesso di MediaTailor Secrets Manager
<a name="channel-assembly-access-configuration-overview"></a>

Dopo aver creato o aggiornato una posizione di origine per utilizzare l'autenticazione con token di accesso, MediaTailor include il token di accesso in un'intestazione HTTP quando richiedi i manifesti del contenuto sorgente dall'origine.

Ecco una panoramica di come MediaTailor utilizza l'autenticazione con token di accesso Secrets Manager per l'autenticazione dell'origine della posizione di origine:

1. Quando crei o aggiorni una posizione di MediaTailor origine che utilizza l'autenticazione con token di accesso, MediaTailor invia una [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId)richiesta a Secrets Manager per determinare la AWS KMS chiave associata al segreto. L'ARN segreto viene incluso nella configurazione di accesso alla posizione di origine.

1. MediaTailor crea una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per la chiave gestita dal cliente, in modo che MediaTailor possa utilizzare la chiave per accedere e decrittografare il token di accesso memorizzato in. SecretString Il nome della concessione sarà. `MediaTailor-SourceLocation-your Account AWS ID-source location name` 

   Puoi revocare l'accesso alla concessione o rimuovere MediaTailor l'accesso alla chiave gestita dal cliente in qualsiasi momento. Per ulteriori informazioni, consulta [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) nella *documentazione di riferimento dell’API AWS Key Management Service *.

1. Quando una fonte VOD viene creata o aggiornata o utilizzata in un programma, invia richieste HTTP MediaTailor alle posizioni di origine per recuperare i manifesti del contenuto sorgente associati alle sorgenti VOD nella posizione di origine. Se la sorgente VOD è associata a una posizione di origine con un token di accesso configurato, le richieste includono il token di accesso come valore di intestazione HTTP.