기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Secrets Manager 액세스 토큰 인증 작업
MediaTailor는 *Secrets Manager 액세스 토큰 인증을* 지원합니다. AWS Secrets Manager 액세스 토큰 인증을 통해 MediaTailor는 AWS Key Management Service (AWS KMS) 고객 관리형 키와 사용자가 생성, 소유 및 관리하는 보안 암호를 사용하여 오리 AWS Secrets Manager 진에 대한 요청을 인증합니다.
이 섹션에서는 Secrets Manager 액세스 토큰 인증의 작동 방식을 설명하고 Secrets Manager 액세스 토큰 인증을 구성하는 방법에 대한 step-by-step 정보를 제공합니다. 에서 Secrets Manager 액세스 토큰 인증을 AWS Management Console 사용하거나 AWS APIs.
**Topics**
+ [AWS Secrets Manager 액세스 토큰 인증 구성](channel-assembly-access-configuration-access-configuring.md)
+ [CDN 권한 부여를 사용하는 MediaPackage 엔드포인트와 통합](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [MediaTailor Secrets Manager 액세스 토큰 인증 작동 방식](channel-assembly-access-configuration-overview.md)
# AWS Secrets Manager 액세스 토큰 인증 구성
AWS Secrets Manager 액세스 토큰 인증을 사용하려면 다음 단계를 수행합니다.
1. [고객 관리형 AWS Key Management Service 키를 생성합니다](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. [AWS Secrets Manager 보안 암호를 생성합니다](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). 보안 암호에는 액세스 토큰이 포함되어 있으며,이 토큰은 Secrets Manager에 암호화된 보안 암호 값으로 저장됩니다. MediaTailor는 AWS KMS 고객 관리형 키를 사용하여 보안 암호 값을 해독합니다.
1. Secrets Manager 액세스 토큰 인증을 사용하도록 AWS Elemental MediaTailor 소스 위치를 구성합니다.
다음 섹션에서는 AWS Secrets Manager 액세스 토큰 인증을 구성하는 방법에 대한 step-by-step 지침을 제공합니다.
**Topics**
+ [1단계: AWS KMS 대칭 고객 관리형 키 생성](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [2단계: AWS Secrets Manager 보안 암호 생성](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [3단계: 액세스 토큰 인증을 사용하여 MediaTailor 소스 위치 구성](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## 1단계: AWS KMS 대칭 고객 관리형 키 생성
AWS Secrets Manager 를 사용하여 보안 암호에 `SecretString` 저장된 형태의 액세스 토큰을 저장합니다. 는 사용자가 생성, 소유 및 관리하는 *AWS KMS 대칭 고객 관리형 키를 *사용하여 암호화`SecretString`됩니다. MediaTailor는 대칭 고객 관리형 키를 사용하여 권한 부여를 통해 보안 암호에 대한 액세스를 용이하게 하고 보안 암호 값을 암호화 및 해독합니다.
고객 관리형 키를 사용하면 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 암호화 키 구성 요소 교체
+ 태그 추가
Secrets Manager가 AWS KMS 를 사용하여 보안 암호를 보호하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의가를 [AWS Secrets Manager 사용하는 방법을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) 참조하세요.
고객 관리형 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하세요.
**참고**
AWS KMS 고객 관리형 키 사용에 요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/) 페이지를 참조하세요.
를 사용하거나 API를 AWS Management Console 사용하여 프로그래밍 방식으로 AWS KMS 대칭 고객 관리형 키를 생성할 수 있습니다. AWS KMS APIs
### 대칭 고객 관리형 키를 만들려면
개발자 안내서의 [대칭 고객 관리형 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) 단계를 따릅니다. *AWS Key Management Service *
키 Amazon 리소스 이름(ARN)을 기록해 둡니다.에서 필요합니다[2단계: AWS Secrets Manager 보안 암호 생성](#channel-assembly-access-configuration-access-token-how-to-create-secret).
### 암호화 컨텍스트
*암호화 컨텍스트*는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.
Secrets Manager에는를 [암호화하고 해독할 때 암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context)가 포함됩니다`SecretString`. 암호화 컨텍스트에는 암호화를 특정 보안 암호로 제한하는 보안 암호 ARN이 포함됩니다. 추가 보안 조치로 MediaTailor는 사용자를 대신하여 AWS KMS 권한 부여를 생성합니다. MediaTailor는 Secrets Manager 암호화 컨텍스트에 포함된 보안 암호 ARN과 `SecretString` 연결된 만 *해독*하도록 허용하는 [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) 작업을 적용합니다.
Secrets Manager가 암호화 컨텍스트를 사용하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [암호화 컨텍스트 ](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)주제를 참조하세요.
### 키 정책 설정
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 생성할 때 기본 키 정책을 사용할 수 있습니다. 자세한 내용은 **AWS Key Management Service 개발자 가이드의 [Authentication and access control for AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)를 참조하세요.
MediaTailor 소스 위치 리소스와 함께 고객 관리형 키를 사용하려면 [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html) 또는 [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)을 호출하는 IAM 보안 주체에 다음 API 작업을 사용할 수 있는 권한을 부여해야 합니다.
+ `kms:CreateGrant` - 고객 관리형 키에 권한 부여를 추가합니다. MediaTailor는 고객 관리형 키에 대한 권한 부여를 생성하여 키를 사용하여 액세스 토큰 인증으로 구성된 소스 위치를 생성하거나 업데이트할 수 있습니다. [에서 권한 부여 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)사용에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서를 참조하세요.*
이렇게 하면 MediaTailor가 다음을 수행할 수 있습니다.
+ [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)를 호출할 때 Secrets Manager 보안 암호를 성공적으로 검색할 수 `Decrypt` 있도록를 호출합니다.
+ 소스 위치가 삭제되거나 보안 암호에 대한 액세스가 취소되면를 호출`RetireGrant`하여 권한 부여를 사용 중지합니다.
다음은 MediaTailor에 추가할 수 있는 정책 설명의 예입니다.
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
정책에서 권한을 지정하고 키 액세스 문제를 해결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [의 권한 부여 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 참조하세요.
## 2단계: AWS Secrets Manager 보안 암호 생성
Secrets Manager를 사용하여 AWS KMS 고객 관리형 키로 `SecretString` 암호화된 형식으로 액세스 토큰을 저장합니다. MediaTailor는 키를 사용하여를 복호화합니다`SecretString`. Secrets Manager가 AWS KMS 를 사용하여 보안 암호를 보호하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의가를 [AWS Secrets Manager 사용하는 방법을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) 참조하세요.
를 소스 위치 오리진 AWS Elemental MediaPackage 으로 사용하고 MediaTailor Secrets Manager 액세스 토큰 인증을 사용하려는 경우 절차를 따릅니다[CDN 권한 부여를 사용하는 MediaPackage 엔드포인트와 통합](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
를 사용하거나 Secrets Manager API를 AWS Management Console 사용하여 프로그래밍 방식으로 Secrets Manager 보안 암호를 생성할 수 있습니다. APIs
### 보안 암호 생성
*AWS Secrets Manager 사용 설명서*의 [를 사용하여 보안 암호 생성 및 관리 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) 단계를 따릅니다.
보안 암호를 생성할 때 다음 사항을 고려해야 합니다.
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)는 1단계에서 생성한 고객 관리[형 키의 키 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)이어야 합니다.
+ [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString)을 제공해야 합니다. 는 액세스 토큰이 포함된 키와 값을 포함하는 유효한 JSON 객체`SecretString`여야 합니다. 예: \$1"MyAccessTokenIdentifier":"112233445566"\$1. 값은 8\$1128자여야 합니다.
액세스 토큰 인증으로 소스 위치를 구성할 때 `SecretString` 키를 지정합니다. MediaTailor는 키를 사용하여에 저장된 액세스 토큰을 조회하고 검색합니다`SecretString`.
보안 암호 ARN과 `SecretString` 키를 기록해 둡니다. 액세스 토큰 인증을 사용하도록 소스 위치를 구성할 때 이를 사용합니다.
### 리소스 기반 보안 암호 정책 연결
MediaTailor가 보안 암호 값에 액세스하도록 하려면 리소스 기반 정책을 보안 암호에 연결해야 합니다. 자세한 내용은 *AWS Secrets Manager 사용 설명서*의 [Secrets Manager 보안 암호에 권한 정책 연결을](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) 참조하세요.
다음은 MediaTailor에 추가할 수 있는 정책 설명 예제입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## 3단계: 액세스 토큰 인증을 사용하여 MediaTailor 소스 위치 구성
를 사용하거나 MediaTailor API를 AWS Management Console 사용하여 프로그래밍 방식으로 Secrets Manager 액세스 토큰 인증을 구성할 수 있습니다. APIs
**Secrets Manager 액세스 토큰 인증을 사용하여 소스 위치를 구성하려면**
*AWS Elemental MediaTailor 사용 설명서*의 [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console)에 대한 단계를 따릅니다.
# CDN 권한 부여를 사용하는 MediaPackage 엔드포인트와 통합
를 소스 위치 오리진 AWS Elemental MediaPackage 으로 사용하는 경우 MediaTailor는 CDN 인증을 사용하는 MediaPackage 엔드포인트와 통합할 수 있습니다.
CDN 권한 부여를 사용하는 MediaPackage 엔드포인트와 통합하려면 다음 절차를 사용합니다.
**MediaPackage와 통합하려면**
1. 아직 [CDN 권한 부여를 설정하지 않은 경우 사용 설명서](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html)*AWS Elemental MediaPackage *의 CDN 권한 부여 설정 단계를 완료합니다.
1. [1단계: AWS KMS 대칭 고객 관리형 키 생성](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms)의 절차를 완료합니다.
1. MediaPackage CDN 권한 부여를 설정할 때 생성한 보안 암호를 수정합니다. 다음 값으로 보안 암호를 수정합니다.
+ 에서 생성한 고객 관리형 키 ARN`KmsKeyId`으로를 업데이트합니다[1단계: AWS KMS 대칭 고객 관리형 키 생성](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
+ (선택 사항)의 경우 UUID를 새 값으로 `SecretString`교체하거나와 같은 표준 JSON 형식의 키 및 값 페어인 경우 기존의 암호화된 보안 암호를 사용할 수 있습니다`{"MediaPackageCDNIdentifier": "112233445566778899"}`.
1. [리소스 기반 보안 암호 정책 연결](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy)의 단계를 수행합니다.
1. [3단계: 액세스 토큰 인증을 사용하여 MediaTailor 소스 위치 구성](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)의 단계를 수행합니다.
# MediaTailor Secrets Manager 액세스 토큰 인증 작동 방식
액세스 토큰 인증을 사용하도록 소스 위치를 생성하거나 업데이트한 후 MediaTailor는 오리진에서 소스 콘텐츠 매니페스트를 요청할 때 HTTP 헤더에 액세스 토큰을 포함합니다.
다음은 MediaTailor가 소스 위치 오리진 인증에 Secrets Manager 액세스 토큰 인증을 사용하는 방법에 대한 개요입니다.
1. 액세스 토큰 인증을 사용하는 MediaTailor 소스 위치를 생성하거나 업데이트하면 MediaTailor는 Secrets Manager에 [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId) 요청을 보내 보안 암호와 연결된 AWS KMS 키를 확인합니다. 소스 위치 액세스 구성에 보안 암호 ARN을 포함합니다.
1. MediaTailor는 고객 관리형 키에 대한 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 생성하므로 MediaTailor는 키를 사용하여 SecretString에 저장된 액세스 토큰에 액세스하고 암호를 해독할 수 있습니다. 권한 부여 이름은 입니다`MediaTailor-SourceLocation-your AWS 계정 ID-source location name`.
언제든지 권한 부여에 대한 액세스를 취소하거나 고객 관리형 키에 대한 MediaTailor의 액세스를 제거할 수 있습니다. 자세한 내용은 API 참조의 [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)를 참조하세요. *AWS Key Management Service *
1. VOD 소스가 생성 또는 업데이트되거나 프로그램에서 사용되는 경우 MediaTailor는 소스 위치에 HTTP 요청을 보내 소스 위치의 VOD 소스와 연결된 소스 콘텐츠 매니페스트를 검색합니다. VOD 소스가 액세스 토큰이 구성된 소스 위치와 연결된 경우 요청은 액세스 토큰을 HTTP 헤더 값으로 포함합니다.