翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ソースロケーション用の認証の設定
**[Access configuration]** (アクセス設定) を使用して、ソースロケーション用の認証を設定します。アクセス設定が有効になっている場合、MediaTailor は、リクエストが MediaTailor とオリジン間で承認される場合に限り、オリジンからソースマニフェストを取得します。アクセス設定は、デフォルトで無効になっています。
MediaTailor は以下の認証タイプをサポートしています。
+ Amazon S3 認証向けの Sigv4
+ AWS Secrets Manager アクセストークン
+ MediaPackage バージョン 2 (v2) 認証用の SigV4
この章では、SigV4 for Amazon S3、MediaPackage v2、および AWS Secrets Manager アクセストークンをソースの場所認証に使用する方法について説明します。
詳細については、該当するトピックを選択してください。
**Topics**
+ [SigV4 を使用した Amazon S3 へのリクエストの認証](channel-assembly-access-configuration-sigv4.md)
+ [MediaPackage バージョン 2 での SigV4 の使用](channel-assembly-access-configuration-sigv4-empv2.md)
+ [AWS Secrets Manager アクセストークン認証の使用](channel-assembly-access-configuration-access-token.md)
# SigV4 を使用した Amazon S3 へのリクエストの認証
Amazon S3 の署名バージョン 4 (SigV4) は、HTTPS 経由で Amazon S3 へのリクエストを認証するために使用される署名プロトコルです。 Amazon S3 Amazon S3 に SigV4 を使用する場合、MediaTailor はオリジンとして使用される Amazon S3 バケットへの HTTPS リクエストに署名付き認可ヘッダーを含めます。署名付きの認可ヘッダーが有効である場合は、オリジンがリクエストに対応します。有効でない場合は、リクエストが失敗します。
SigV4 for の一般的な情報については AWS Key Management Service、*Amazon S3 API リファレンス*[のリクエストの認証 (AWS 署名バージョン 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) トピックを参照してください。
**注記**
MediaTailor は常に SigV4 を使用してこれらのオリジンへのリクエストに署名します。
## 要件
ソースロケーションのために Amazon S3 認証用の SigV4 をアクティブ化する場合は、以下の要件を満たす必要があります。
+ IAM で **mediatailor.amazonaws.com** プリンシパルアクセスを許可することで、MediaTailor が Amazon S3 バケットにアクセスすることを許可する必要があります。IAM でアクセスを設定する方法については、*AWS Identity and Access Management 「 ユーザーガイド*」の[「アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。
+ **mediatailor.amazonaws.com** サービスプリンシパルには、VOD ソースパッケージ設定によって参照されるすべてのマルチバリアントプレイリストを読み取るアクセス許可が必要です。
+ API の呼び出し元には、MediaTailor VOD ソースパッケージ設定によって参照されるすべてのマルチバリアントプレイリストを読み取るための **s3:GetObject** IAM アクセス許可が必要です。
+ MediaTailor のソースロケーションのベース URL が、Amazon S3 の仮想ホスティング形式のリクエスト URL 形式に従っていること。例えば、https://*bucket-name*.s3.*Region*.amazonaws.com/*key-name* などです。Amazon S3 の仮想ホスティング形式のアクセスについては、「[仮想ホスティング形式のリクエスト](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access)」を参照してください。
# MediaPackage バージョン 2 での SigV4 の使用
MediaPackage v2 の署名バージョン 4 (SigV4) は、HTTP 経由で MediaPackage v2 へのリクエストを認証するために使用される署名プロトコルです。MediaPackage v2 に SigV4 を使用する場合、MediaTailor はオリジンとして使用される MediaPackage v2 エンドポイントへの HTTP リクエストに署名付き認可ヘッダーを含めます。署名付きの認可ヘッダーが有効である場合は、オリジンがリクエストに対応します。有効でない場合は、リクエストが失敗します。
MediaPackage v2 用 SigV4 の一般的な情報については、*MediaPackage v2 API リファレンス*の[「リクエストの認証 (AWS 署名バージョン 4)](https://docs.aws.amazon.com/mediapackage/latest/userguide/sig-v4-authenticating-requests.html)」トピックを参照してください。
## 要件
ソースロケーションで MediaPackage v2 認証用の SigV4 をアクティブ化する場合は、次の要件を満たす必要があります。
+ エンドポイントのオリジンアクセスポリシーで **mediatailor.amazonaws.com** プリンシパルアクセスを許可することで、MediaTailor が MediaPackage v2 エンドポイントにアクセスすることを許可する必要があります。
+ MediaTailor のソースロケーションベース URL は MediaPackage v2 エンドポイントである必要があります。
+ API の呼び出し元には、**MediaTailor ソースパッケージング設定によって参照されるすべてのマルチバリアントプレイリストを読み取るための mediapackagev2:GetObject** IAM アクセス許可が必要です。 MediaTailor
# AWS Secrets Manager アクセストークン認証の使用
MediaTailor は、*Secrets Manager アクセストークン認証*をサポートします。 AWS Secrets Manager アクセストークン認証では、MediaTailor は AWS Key Management Service (AWS KMS) カスタマーマネージドキーと AWS Secrets Manager 、オリジンへのリクエストを認証するために作成、所有、管理するシークレットを使用します。
このセクションでは、Secrets Manager アクセストークン認証の仕組みについて説明し、Secrets Manager アクセストークン認証の設定方法に関するステップバイステップの情報を提供します。Secrets Manager アクセストークン認証は、 で AWS マネジメントコンソール 操作することも、 AWS APIsを使用してプログラムで操作することもできます。
**Topics**
+ [AWS Secrets Manager アクセストークン認証の設定](channel-assembly-access-configuration-access-configuring.md)
+ [CDN 認可を使用する MediaPackage エンドポイントとの統合](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [MediaTailor の Secrets Manager アクセストークン認証の仕組み](channel-assembly-access-configuration-overview.md)
# AWS Secrets Manager アクセストークン認証の設定
AWS Secrets Manager アクセストークン認証を使用する場合は、次の手順を実行します。
1. [AWS Key Management Service カスタマーマネージドキーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
1. [AWS Secrets Manager シークレットを作成する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html)。シークレットには、暗号化されたシークレット値として Secrets Manager に保存されているアクセストークンが含まれています。MediaTailor は、 AWS KMS カスタマーマネージドキーを使用してシークレット値を復号します。
1. Secrets Manager アクセストークン認証を使用するように AWS Elemental MediaTailor ソースの場所を設定します。
以下のセクションは、 AWS Secrets Manager アクセストークン認証の設定方法に関するステップバイステップガイダンスです。
**Topics**
+ [ステップ 1: AWS KMS 対称カスタマーマネージドキーを作成する](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [ステップ 2: AWS Secrets Manager シークレットを作成する](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [ステップ 3: アクセストークン認証で MediaTailor のソースロケーションを設定する](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## ステップ 1: AWS KMS 対称カスタマーマネージドキーを作成する
を使用して AWS Secrets Manager 、シークレットに`SecretString`保存された の形式でアクセストークンを保存します。`SecretString` は、ユーザーが作成、所有、および管理する *AWS KMS 対称カスタマーマネージドキー*を使用することで暗号化されます。MediaTailor は、対称カスタマーマネージドキーを使用して、権限のあるシークレットへのアクセスを容易にし、シークレット値を暗号化および復号化します。
カスタマーマネージドキーを使用することで、以下のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ 暗号化キーマテリアルのローテーション
+ タグの追加
Secrets Manager が AWS KMS を使用してシークレットを保護する方法については、「 *AWS Key Management Service デベロッパーガイド*」の[「 AWS Secrets Manager が AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) を使用する方法」トピックを参照してください。
カスタマーマネージドキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
**注記**
AWS KMS カスタマーマネージドキーの使用には 料金が適用されます。料金の詳細については、[AWS Key Management Service 「 料金](https://aws.amazon.com/kms/pricing/)表」ページを参照してください。
対称カスタマーマネージドキーは、 を使用する AWS マネジメントコンソール か AWS KMS APIs AWS KMS を使用してプログラムで作成できます。
### 対称カスタマーマネージドキーを作成する
*AWS Key Management Service デベロッパーガイド*にある[対称カスタマーマネージドキーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)ステップを実行します。
キーの Amazon リソースネーム (ARN) を書き留めておきます。これは[ステップ 2: AWS Secrets Manager シークレットを作成する](#channel-assembly-access-configuration-access-token-how-to-create-secret) で必要になります。
### 暗号化コンテキスト
*暗号化コンテキスト*は、データに関する追加のコンテキスト情報が含まれたキーバリューペアのオプションのセットです。
Secrets Manager は、`SecretString` を暗号化および復号化するときに[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context)を含めます。暗号化コンテキストにはシークレット ARN が含まれており、これは暗号化をその特定のシークレットに制限します。追加のセキュリティ対策として、MediaTailor はユーザーに代わって AWS KMS 権限を作成します。MediaTailor は、Secrets Manager 暗号化コンテキストに含まれるシークレット ARN `SecretString`に関連付けられた のみを*復号*できるようにする [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) オペレーションを適用します。
Secrets Manager が暗号化コンテキストを使用する方法については、「 *AWS Key Management Service デベロッパーガイド*」の[「暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)」トピックを参照してください。
### キーポリシーの設定
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つ必要になります。このポリシーには、そのキーを使用できるユーザーとその使用方法を規定するステートメントが含まれています。カスタマーマネージドキーを作成するときは、デフォルトのキーポリシーを使用できます。詳細については、*AWS Key Management Service デベロッパーガイド*の「[AWS KMSの認証とアクセスコントロール](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)」を参照してください。
MediaTailor ソースロケーションリソースでカスタマーマネージドキーを使用するには、[CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html) または [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html) を呼び出す IAM プリンシパルに、次の API オペレーションを使用するアクセス許可を付与する必要があります。
+ `kms:CreateGrant` - カスタマーマネージドキーにグラントを追加します。MediaTailor はカスタマーマネージドキーに対するグラントを作成します。これは、アクセストークン認証が設定されたソースロケーションの作成と更新に MediaTailor がこのキーを使用することを可能にします。[での Grants の使用の詳細については AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)、「 *AWS Key Management Service デベロッパーガイド」を参照してください。*
これは、MediaTailor が以下を実行できるようにします。
+ [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) `Decrypt`を呼び出すときに Secrets Manager シークレットを正常に取得できるように、 を呼び出します。
+ ソースロケーションが削除された、またはシークレットへのアクセス権が取り消されたときにグラントを廃止するために `RetireGrant` を呼び出す。
以下は、MediaTailor に追加できるポリシーステートメントの例です。
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
ポリシーでのアクセス許可の指定とキーアクセスのトラブルシューティングの詳細については、「 *AWS Key Management Service デベロッパーガイド*」の「 [のグラン AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)ト」を参照してください。
## ステップ 2: AWS Secrets Manager シークレットを作成する
Secrets Manager を使用して、 AWS KMS カスタマーマネージドキーで暗号化`SecretString`された の形式でアクセストークンを保存します。MediaTailor は、`SecretString` の復号化にこのキーを使用します。Secrets Manager が AWS KMS を使用してシークレットを保護する方法については、「 *AWS Key Management Service デベロッパーガイド*」の[「 AWS Secrets Manager が AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) を使用する方法」トピックを参照してください。
をソースロケーションオリジン AWS Elemental MediaPackage として使用し、MediaTailor Secrets Manager アクセストークン認証を使用する場合は、「」の手順に従います[CDN 認可を使用する MediaPackage エンドポイントとの統合](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)。
Secrets Manager API を使用して、 AWS マネジメントコンソール またはプログラムで Secrets Manager シークレットを作成できます APIs 。
### シークレットを作成する
*AWS Secrets Manager 「 ユーザーガイド*」の[「 でシークレットを作成および管理する AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html)」の手順に従います。
シークレットを作成するときは、以下の考慮事項に留意してください。
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId) は、ステップ 1 で作成したカスタマーマネージドキーのキー [ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) である必要があります。
+ [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString) を指定する必要があります。`SecretString` は、アクセストークンが含まれる、キーと値が含まれた有効な JSON オブジェクトである必要があります。例えば、\$1"MyAccessTokenIdentifier":"112233445566"\$1 などです。値の長さは 8~128 文字にしてください。
アクセストークン認証を使用してソースロケーションを設定するときは、`SecretString` キーを指定します。MediaTailor は、`SecretString` に保存されているアクセストークンの検索と取得にこのキーを使用します。
シークレット ARN と `SecretString` キーを書き留めておきます。これらは、アクセストークン認証を使用するようにソースロケーションを設定するときに使用します。
### リソースベースのシークレットポリシーのアタッチ
MediaTailor がシークレット値にアクセスできるようにするには、シークレットにリソースベースのポリシーをアタッチする必要があります。詳細については、[「 ユーザーガイド」の「Secrets Manager シークレットにアクセス許可ポリシーを](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)アタッチする」を参照してください。 *AWS Secrets Manager *
以下は、MediaTailor に追加できるポリシーステートメントの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## ステップ 3: アクセストークン認証で MediaTailor のソースロケーションを設定する
Secrets Manager アクセストークン認証は、 を使用する AWS マネジメントコンソール かMediaTailor APIs を使用してプログラムで設定できます。
**Secrets Manager アクセストークン認証でソースロケーションを設定する**
「 *AWS Elemental MediaTailor ユーザーガイド*」の[Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console)「」の手順に従います。
# CDN 認可を使用する MediaPackage エンドポイントとの統合
をソースロケーションオリジン AWS Elemental MediaPackage として使用すると、MediaTailor は CDN 認可を使用する MediaPackage エンドポイントと統合できます。
CDN 認可を使用する MediaPackage エンドポイントとの統合には、以下の手順を実行します。
**MediaPackage に統合する**
1. まだの場合は、*AWS Elemental MediaPackage *「 ユーザーガイド」の[「CDN 認可の設定](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html)」のステップを完了します。
1. [ステップ 1: AWS KMS 対称カスタマーマネージドキーを作成する](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms) のステップを完了します。
1. MediaPackage CDN 認可のセットアップ時に作成したシークレットを変更します。シークレットは、以下の値で変更してください。
+ [ステップ 1: AWS KMS 対称カスタマーマネージドキーを作成する](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms) で作成したカスタマーマネージドキー ARN で `KmsKeyId` を更新します。
+ (オプション) `SecretString` については、UUID を新しい値にローテーションする、または既存の暗号化されたシークレットを使用する (それが `{"MediaPackageCDNIdentifier": "112233445566778899"}` といった標準 JSON 形式でのキーと値のペアである場合のみ) ことができます。
1. [リソースベースのシークレットポリシーのアタッチ](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy) のステップを完了します。
1. 「[ステップ 3: アクセストークン認証で MediaTailor のソースロケーションを設定する](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)」の各ステップを実行します。
# MediaTailor の Secrets Manager アクセストークン認証の仕組み
アクセストークン認証を使用するようにソースロケーションを作成または更新すると、MediaTailor はオリジンからのソースコンテンツマニフェストをリクエストするときに、HTTP ヘッダーにアクセストークンを含めます。
以下は、MediaTailor がソースロケーションオリジン認証に Secrets Manager アクセストークン認証を使用する方法の概要です。
1. アクセストークン認証を使用する MediaTailor ソースロケーションを作成または更新すると、MediaTailor は Secrets Manager に [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId) リクエストを送信して、シークレットに関連付けられた AWS KMS キーを決定します。シークレット ARN はソースロケーションのアクセス設定に含めます。
1. MediaTailor は、SecretString に保存されているアクセストークンへのアクセスと復号化にカスタマーマネージドキーを使用できるように、カスタマーマネージドキーに対する[グラント](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)を作成します。グラント名は `MediaTailor-SourceLocation-your AWS アカウント ID-source location name` になります。
グラントへのアクセス権の取り消し、またはカスタマーマネージドキーへの MediaTailor のアクセス権の削除は、いつでも実行できます。詳細については、*AWS Key Management Service API リファレンス*の「[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)」を参照してください。
1. VOD ソースが作成もしくは更新される、またはプログラムで使用されると、MediaTailor は、ソースロケーションに対して HTTP リクエストを実行して、そのソースロケーション内の VOD ソースに関連付けられたソースコンテンツマニフェストを取得します。アクセストークンが設定されているソースロケーションにその VOD ソースが関連付けられている場合は、アクセストークンが HTTP ヘッダー値としてリクエストに含まれます。