As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autorização CDN em AWS Elemental MediaPackage
<a name="cdn-auth"></a>

A *autorização da rede de entrega de conteúdo (CDN)* ajuda a proteger seu conteúdo contra uso não autorizado. Quando você configura a autorização da CDN, atende MediaPackage somente às solicitações de reprodução autorizadas entre MediaPackage e sua CDN. Isso impede que os usuários ignorem a CDN para acessar diretamente seu conteúdo na origem.

## Como funciona
<a name="working-with-cdn-auth"></a>

Você configura sua CDN, como a Amazon CloudFront, para incluir um *cabeçalho HTTP personalizado* nas solicitações de conteúdo para MediaPackage.

Cabeçalho HTTP personalizado e valor de exemplo.

```
X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660
```

Armazene o valor de cabeçalho como um *segredo* no AWS Secrets Manager. Quando sua CDN envia uma solicitação de reprodução, MediaPackage verifica se o valor do segredo corresponde ao valor do cabeçalho HTTP personalizado. MediaPackage recebe permissão para ler o segredo com uma política e uma função de AWS Identity and Access Management permissões.

Chave secreta e valor de exemplo.

```
{“MediaPackageCDNIdentifier”: "9ceebbe7-9607-4552-8764-876e47032660"}
```

Se os valores corresponderem, MediaPackage veicula o conteúdo junto com um código de `200 OK` status HTTP. Se não corresponder ou se a solicitação de autorização falhar, MediaPackage não veiculará o conteúdo e enviará um código de `403 Unauthorized` status HTTP.

A imagem a seguir mostra a autorização bem-sucedida do CDN usando a Amazon CloudFront.

![\[A imagem mostra um fluxo de autenticação bem-sucedida da CDN. O canto inferior esquerdo mostra um dispositivo de reprodução solicitando conteúdo da Amazon CloudFront indicado por uma seta. CloudFront inclui o cabeçalho HTTP personalizado e o valor em sua solicitação para MediaPackage, indicados por uma seta. MediaPackage solicita as informações secretas de AWS Secrets Manager, indicadas por uma seta, que depende da permissão do IAM. AWS Secrets Manager responde com o valor secreto a. MediaPackage MediaPackage verifica se o segredo corresponde ao valor do cabeçalho, indicado por uma caixa de seleção verde. MediaPackage envia um código de 200 OK status HTTP junto com o conteúdo do vídeo para CloudFront. CloudFront serve o conteúdo do vídeo para o dispositivo de reprodução.\]](http://docs.aws.amazon.com/pt_br/mediapackage/latest/ug/images/cdn_auth.png)


Para step-by-step obter instruções sobre como configurar a autorização de CDN, consulte[Como configurar a autorização de CDN](cdn-auth-setup.md).

# Como configurar a autorização de CDN
<a name="cdn-auth-setup"></a>

Conclua as etapas a seguir para configurar a autorização da CDN.

**Topics**
+ [Etapa 1: Configurar um cabeçalho HTTP de origem personalizado da CDN](#cdn-aut-setup-cdn)
+ [Etapa 2: armazenar o valor como um segredo em AWS Secrets Manager](#cdn-aut-setup-secret)
+ [Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager](#cdn-aut-setup-iam)
+ [Etapa 4: Habilitar a autorização de CDN em MediaPackage](#cdn-aut-setup-endpoint)

## Etapa 1: Configurar um cabeçalho HTTP de origem personalizado da CDN
<a name="cdn-aut-setup-cdn"></a>

Na CDN, configure um cabeçalho HTTP de origem personalizado que contenha o cabeçalho **X-MediaPackage-CDNIdentifier** e um valor. Para o valor, recomendamos que você use o formato [UUID versão 4](https://www.ietf.org/rfc/rfc4122.txt), que produz uma string de 36 caracteres. Se você não estiver usando o formato UUID versão 4, o valor deverá ter 8 a 128 caracteres.

Se sua CDN tiver cabeçalhos de autorização configurados, MediaPackage retornará um erro 404 até que a autorização da CDN seja habilitada no endpoint.

**Importante**  
O valor escolhido deve ser um valor estático. Não há integração nativa entre seu CDN e AWS Secrets Manager, portanto, o valor deve ser estático tanto em seu CDN quanto em. AWS Secrets Manager Se você alterar esse valor após configurar a CDN e o segredo, será necessário alternar o valor manualmente. Para obter mais informações, consulte [Mudar o valor do cabeçalho da CDN](cdn-auth-rotate.md).

**Exemplo de cabeçalho e valor**

```
X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660
```

**Para criar um cabeçalho personalizado na Amazon CloudFront**

1. Faça login no Console de gerenciamento da AWS e abra o CloudFront console em[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Crie ou edite uma distribuição.

1. Em **Origin Settings (Configurações de origem)**, preencha os campos. Você usará esse mesmo valor para seus segredos no Secrets Manager.
   + Em **Header Name (Nome do cabeçalho)**, insira **X-MediaPackage-CDNIdentifier**.
   + Em **Valor**, insira um valor. Recomendamos que você use o formato UUID versão 4, que produz uma string de 36 caracteres. Se você não estiver usando o formato UUID versão 4, o valor deverá ter 8 a 128 caracteres. 

1. Preencha o resto dos campos e salve a distribuição.

Para obter mais informações sobre cabeçalhos personalizados em CloudFront, consulte [Encaminhando cabeçalhos de clientes para sua origem](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html) no *Amazon CloudFront * Developer Guide.

## Etapa 2: armazenar o valor como um segredo em AWS Secrets Manager
<a name="cdn-aut-setup-secret"></a>

Armazene o mesmo valor usado no cabeçalho HTTP de origem personalizado como um *segredo* no AWS Secrets Manager. O segredo deve usar as mesmas configurações de AWS conta e região AWS Elemental MediaPackage dos seus recursos. MediaPackagenão suporta o compartilhamento de segredos entre contas ou regiões. No entanto, é possível usar o mesmo segredo em vários endpoints na mesma região e na mesma conta.

**Para armazenar um segredo no Secrets Manager**

1. Faça login no AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Selecione **Armazenar um novo segredo**. Em **Tipo de segredo**, escolha **Outro tipo de segredo**.

1. Em **Pares de chave/valor**, insira as informações de chave e valor.
   + Na caixa à esquerda, insira **MediaPackageCDNIdentifier**.
   + Na caixa à direita, insira o valor que você configurou para o cabeçalho HTTP de origem personalizado. Por exemplo, .`9ceebbe7-9607-4552-8764-876e47032660`

1. Para a **chave de criptografia**, você pode manter o valor padrão como **DefaultEncryptionKey**.

1. Escolha **Próximo**.

1. Em **Nome do segredo**, recomendamos usar **MediaPackage/** como prefixo, para que você saiba que é um segredo usado para o MediaPackage. Por exemplo, .**MediaPackage/cdn\$1auth\$1us-west-2**

1. Escolha **Próximo**.

1. Em **Configurar alternância automática**, mantenha a configuração padrão **Desativar a alternância automática**.

   Se for necessário alterar o código da autorização mais tarde, consulte [Mudar o valor do cabeçalho da CDN](cdn-auth-rotate.md).

1. Selecione **Avançar** e selecione **Armazenar**.

   Isso leva você até a lista de segredos.

1. Selecione o nome do segredo para visualizar o **ARN do segredo**. O ARN tem um valor semelhante a `arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx`. Use o ARN do segredo ao configurar a autorização da CDN para o MediaPackage na Etapa 4: Habilitar a autorização da CDN no MediaPackage. 

## Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager
<a name="cdn-aut-setup-iam"></a>

Crie uma política e uma função do IAM para dar acesso de MediaPackage leitura ao Secrets Manager. Quando o MediaPackage recebe uma solicitação de reprodução da CDN, ele verifica se o valor do segredo armazenado corresponde ao valor no cabeçalho HTTP personalizado. Siga as etapas em [AWS Elemental MediaPackage Permitindo acessar outros AWS serviços](setting-up-create-trust-rel.md) para configurar a política e a função.

## Etapa 4: Habilitar a autorização de CDN em MediaPackage
<a name="cdn-aut-setup-endpoint"></a>

Você pode habilitar a autorização de CDN para seus endpoints ou grupos de pacotes de vídeo sob demanda (VOD) com o MediaPackage console ou a API AWS CLI. MediaPackage Você usa o ARN para a política e a função do IAM que você criou na Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager.

**dica**  
Use o mesmo segredo em vários endpoints na mesma região e na mesma conta. Reduza os custos criando um segredo somente quando necessário para o fluxo de trabalho.

Se sua CDN tiver cabeçalhos de autorização configurados, MediaPackage retornará um erro 404 até que a autorização da CDN seja habilitada no endpoint.

**Para habilitar a autorização de CDN para conteúdo ao vivo pelo console**

1. Abra o MediaPackage console em [https://console.aws.amazon.com/mediapackage/](https://console.aws.amazon.com/mediapackage/).

1. Se ainda não tem um canal, crie-o. Para obter ajuda, consulte [Criar um canal](channels-create.md).

1. Crie ou edite um endpoint.

1. Em **Configurações de controle de acesso**, selecione **Usar autorização de CDN**. Preencha os campos:
   + Em **ARN do perfil do Secrets**, insira o ARN do perfil do IAM que você criou em [Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager](#cdn-aut-setup-iam).
   + Em **ARN secreto do identificador da CDN**, insira o ARN para o segredo no Secrets Manager que sua CDN usa para autorização de acesso ao endpoint.

1. Preencha os campos restantes conforme necessário e salve o endpoint.

**Para habilitar a autorização de CDN para conteúdo de VOD pelo console**

1. Abra o MediaPackage console em [https://console.aws.amazon.com/mediapackage/](https://console.aws.amazon.com/mediapackage/).

1. Se você ainda não tiver um grupo de empacotamento de VOD, crie um. Para obter ajuda, consulte [Como criar um grupo de empacotamento](pkg-group-create.md).

1. Criar ou editar um grupo de empacotamento.

1. Em **Configurar controle de acesso**, selecione **Habilitar autorização**. Preencha os campos:
   + Em **ARN do perfil do Secrets**, insira o ARN do perfil do IAM que você criou em [Etapa 3: criar uma política e uma função do IAM para MediaPackage acessar o Secrets Manager](#cdn-aut-setup-iam).
   + Em **ARN secreto do identificador da CDN**, insira o ARN para o segredo no Secrets Manager que sua CDN usa para autorização de acesso ao endpoint.

1. Preencha os campos restantes conforme necessário e salve o grupo de empacotamento.

Você concluiu agora a configuração da autorização da CDN. As solicitações para esse endpoint deverão conter o mesmo código de autorização que você salvou no Secrets Manager.

**Para habilitar a autorização de CDN com a API MediaPackage**  
Para obter informações sobre como habilitar a autorização de CDN com a MediaPackage API, consulte as seguintes referências de API:
+ [MediaPackage referência de API ativa](https://docs.aws.amazon.com/mediapackage/latest/apireference/resources.html)
+ [MediaPackage Referência da API VOD](https://docs.aws.amazon.com/mediapackage-vod/latest/apireference/)

# Mudar o valor do cabeçalho da CDN
<a name="cdn-auth-rotate"></a>

Se você alterar o valor de cabeçalho HTTP de origem personalizado da CDN, será necessário mudar o valor do segredo armazenado no Secrets Manager. O procedimento a seguir descreve como alternar o valor no Secrets Manager para garantir que o valor do cabeçalho HTTP da CDN e o valor do segredo armazenado no Secrets Manager estejam sincronizados.

**Como mudar o valor**

1. Atualize o valor do segredo armazenado no Secrets Manager conforme descrito em [Modificar um segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html) no *Guia do usuário do AWS Secrets Manager *.

   Para garantir a reprodução contínua de streams ativos, MediaPackage autoriza solicitações que usam o valor atual no Secrets Manager ou uma versão anterior.

1. Aguarde 10 minutos MediaPackage para reconhecer que o valor foi alterado no Secrets Manager.

1. Na CDN, atualize o valor em `X-MediaPackage-CDNIdentifier` para o novo código de autorização.

1. Aguarde até que a CDN seja totalmente atualizada com o novo valor antes de enviar solicitações por meio dela para o MediaPackage.

   Para desabilitar o valor do segredo anterior, salve o valor do novo segredo duas vezes. Dessa forma, as versões atuais e anteriores do segredo têm o mesmo valor.