As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando a autenticação do token de AWS Secrets Manager acesso
Quando quiser usar a autenticação por token de AWS Secrets Manager acesso, execute as seguintes etapas:
1. Você [cria uma chave gerenciada pelo AWS Key Management Service cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. Você [cria um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). O segredo contém seu token de acesso, que é armazenado no Secrets Manager como um valor secreto criptografado. MediaTailor usa a chave gerenciada pelo AWS KMS cliente para descriptografar o valor secreto.
1. Você configura um local AWS Elemental MediaTailor de origem para usar a autenticação do token de acesso do Secrets Manager.
A seção a seguir fornece step-by-step orientação sobre como configurar a autenticação por token de AWS Secrets Manager acesso.
**Topics**
+ [Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Etapa 2: criar um AWS Secrets Manager segredo](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Etapa 3: Configurar um local MediaTailor de origem com autenticação de token de acesso](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente
Você usa AWS Secrets Manager para armazenar seu token de acesso na forma de um segredo `SecretString` armazenado. O `SecretString` é criptografado por meio do uso de uma *chave AWS KMS simétrica gerenciada pelo cliente* que você cria, possui e gerencia. MediaTailor usa a chave simétrica gerenciada pelo cliente para facilitar o acesso ao segredo com uma concessão e para criptografar e descriptografar o valor secreto.
As chaves gerenciadas pelo cliente permitem que você execute tarefas como as seguintes:
+ Estabelecer e manter as políticas de chave
+ Estabelecer e manter subsídios e IAM policies
+ Habilitar e desabilitar políticas de chaves
+ Material de chave criptográfica rotativa
+ Adicionar tags da
Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico [Como AWS Secrets Manager usar AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) no *Guia do AWS Key Management Service desenvolvedor*.
Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte [Chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
AWS KMS cobranças se aplicam ao uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte a página de [AWS Key Management Service preços](https://aws.amazon.com/kms/pricing/).
Você pode criar uma chave AWS KMS simétrica gerenciada pelo cliente usando o Console de gerenciamento da AWS ou programaticamente com o. AWS KMS APIs
### Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para [criar uma chave simétrica gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no *Guia do AWS Key Management Service desenvolvedor*.
Anote o nome de recurso principal da Amazon (ARN); você precisará dele. [Etapa 2: criar um AWS Secrets Manager segredo](#channel-assembly-access-configuration-access-token-how-to-create-secret)
### Contexto de criptografia
Um *contexto de criptografia* é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.
O Secrets Manager inclui um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) ao criptografar e descriptografar o. `SecretString` O contexto de criptografia inclui o ARN secreto, que limita a criptografia a esse segredo específico. Como medida adicional de segurança, MediaTailor cria uma AWS KMS concessão em seu nome. MediaTailor aplica uma [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operação que só nos permite *descriptografar* o ARN `SecretString` associado ao secreto contido no contexto de criptografia do Secrets Manager.
Para obter informações sobre como o Secrets Manager usa o contexto de [criptografia, consulte o tópico Contexto](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) de criptografia no *Guia do AWS Key Management Service desenvolvedor*.
### Definindo a política principal
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar sua chave gerenciada pelo cliente, você pode usar a política de chaves padrão. Para obter mais informações, consulte [Autenticação e controle de acesso para o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Para usar sua chave gerenciada pelo cliente com seus recursos de localização de MediaTailor origem, você deve dar permissão ao diretor do IAM que chama [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)ou [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)usa as seguintes operações de API:
+ `kms:CreateGrant`— Adiciona uma concessão a uma chave gerenciada pelo cliente. MediaTailor cria uma concessão em sua chave gerenciada pelo cliente que permite que ela use a chave para criar ou atualizar um local de origem configurado com autenticação de token de acesso. Para obter mais informações sobre como usar o [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulte o *Guia do AWS Key Management Service desenvolvedor.*
Isso permite MediaTailor fazer o seguinte:
+ Ligue `Decrypt` para que ele possa recuperar com sucesso seu segredo do Secrets Manager ao ligar [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Ligue `RetireGrant` para retirar a concessão quando o local de origem for excluído ou quando o acesso ao segredo for revogado.
Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
Para obter mais informações sobre como especificar permissões em uma política e solucionar problemas de acesso por chave, consulte [Concessões AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Guia do AWS Key Management Service desenvolvedor*.
## Etapa 2: criar um AWS Secrets Manager segredo
Use o Secrets Manager para armazenar seu token de acesso na forma de um `SecretString` que é criptografado por uma chave gerenciada pelo AWS KMS cliente. MediaTailorusa a chave para descriptografar o. `SecretString` Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico [Como AWS Secrets Manager usar AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) no *Guia do AWS Key Management Service desenvolvedor*.
Se você usa AWS Elemental MediaPackage como origem do local de origem e gostaria de usar a autenticação por token de acesso do MediaTailor Secrets Manager, siga o procedimento[Integração com MediaPackage endpoints que usam autorização CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Você pode criar um segredo do Secrets Manager usando o Console de gerenciamento da AWS ou programaticamente com o Secrets Manager. APIs
### Como criar um segredo
Siga as etapas para [Criar e gerenciar segredos AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) no *Guia do AWS Secrets Manager usuário*.
Lembre-se das seguintes considerações ao criar seu segredo:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Deve ser o [ARN da chave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) gerenciada pelo cliente que você criou na Etapa 1.
+ Você deve fornecer um [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Deve ser um objeto JSON válido que inclua uma chave e um valor contendo o token de acesso. Por exemplo, \$1” MyAccessTokenIdentifier “:"112233445566"\$1. O valor deve ter entre 8 e 128 caracteres.
Ao configurar seu local de origem com a autenticação do token de acesso, você especifica a `SecretString` chave. MediaTailor usa a chave para pesquisar e recuperar o token de acesso armazenado no`SecretString`.
Anote o ARN secreto e a `SecretString` chave. Você os usará ao configurar seu local de origem para usar a autenticação por token de acesso.
### Anexando uma política secreta baseada em recursos
Para permitir o MediaTailor acesso ao valor secreto, você deve anexar uma política baseada em recursos ao segredo. Para obter mais informações, consulte [Anexar uma política de permissões a um segredo do Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) no *Guia AWS Secrets Manager do Usuário*.
Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Etapa 3: Configurar um local MediaTailor de origem com autenticação de token de acesso
Você pode configurar a autenticação do token de acesso do Secrets Manager usando o Console de gerenciamento da AWS ou programaticamente com o. MediaTailor APIs
**Para configurar um local de origem com a autenticação de token de acesso do Secrets Manager**
Siga as etapas [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) do *Guia do AWS Elemental MediaTailor usuário*.