As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando a autenticação para seu local de origem
Use a **configuração de acesso** para configurar a autenticação para seu local de origem. Quando a configuração de acesso está ativada, MediaTailor só recupera os manifestos de origem de sua origem se a solicitação for autorizada entre MediaTailor e sua origem. A configuração de acesso está desativada por padrão.
MediaTailor suporta os seguintes tipos de autenticação:
+ SigV4 para autenticação do Amazon S3
+ AWS Secrets Manager token de acesso
+ SigV4 para autenticação da MediaPackage versão 2 (v2)
Este capítulo explica como usar o SigV4 para Amazon S3 MediaPackage , v2 AWS Secrets Manager e tokens de acesso para autenticação de localização de origem.
Para obter mais informações, selecione o tópico aplicável.
**Topics**
+ [Autenticação de solicitações para o Amazon S3 com SigV4](channel-assembly-access-configuration-sigv4.md)
+ [Trabalhando com o SigV4 para MediaPackage a versão 2](channel-assembly-access-configuration-sigv4-empv2.md)
+ [Trabalhando com autenticação de token de AWS Secrets Manager acesso](channel-assembly-access-configuration-access-token.md)
# Autenticação de solicitações para o Amazon S3 com SigV4
O Signature Version 4 (SigV4) para Amazon S3 é um protocolo de assinatura usado para autenticar solicitações para o Amazon S3 via HTTPS. Quando você usa o SigV4 para o Amazon S3 MediaTailor , inclui um cabeçalho de autorização assinado na solicitação HTTPS para o bucket do Amazon S3 usado como sua origem. Se o cabeçalho de autorização assinado for válido, sua origem atenderá à solicitação. Se não for válido, a solicitação falhará.
Para obter informações gerais sobre o SigV4 for AWS Key Management Service, consulte o tópico [Solicitações de autenticação (AWS assinatura versão 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) na referência da API do *Amazon* S3.
**nota**
MediaTailor sempre assina solicitações para essas origens com o SigV4.
## Requisitos
Se você ativar o SigV4 para autenticação do Amazon S3 em seu local de origem, deverá atender aos seguintes requisitos:
+ Você deve permitir MediaTailor o acesso ao seu bucket do Amazon S3 concedendo acesso principal a **mediatailor.amazonaws.com** no IAM. Para obter informações sobre como configurar o acesso no IAM, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do AWS Identity and Access Management usuário*.
+ O responsável pelo serviço **mediatailor.amazonaws.com** deve ter permissões para ler todas as playlists multivariantes referenciadas pelas configurações do pacote fonte do VOD.
+ O chamador da API deve ter permissões **s3: GetObject** IAM para ler todas as playlists multivariantes referenciadas pelas configurações do pacote fonte de VOD. MediaTailor
+ Seu URL base de localização de MediaTailor origem deve seguir o formato de URL de solicitação de estilo hospedado virtual do Amazon S3. Por exemplo, https://*bucket-name*.s3. *Region*.amazonaws.com/*key-name*. [Para obter informações sobre o acesso em estilo virtual hospedado no Amazon S3, consulte Solicitações de estilo hospedado virtual.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access)
# Trabalhando com o SigV4 para MediaPackage a versão 2
O Signature Version 4 (SigV4) para MediaPackage v2 é um protocolo de assinatura usado para autenticar solicitações para MediaPackage a v2 via HTTP. Quando você usa o SigV4 para MediaPackage v2, MediaTailor inclui um cabeçalho de autorização assinado na solicitação HTTP para o endpoint MediaPackage v2 usado como sua origem. Se o cabeçalho de autorização assinado for válido, sua origem atenderá à solicitação. Se não for válido, a solicitação falhará.
*Para obter informações gerais sobre o SigV4 para MediaPackage v2, consulte o tópico [Solicitações de autenticação (AWS assinatura versão 4)](https://docs.aws.amazon.com/mediapackage/latest/userguide/sig-v4-authenticating-requests.html) na referência da MediaPackage API v2.*
## Requisitos
Se você ativar o SigV4 para autenticação MediaPackage v2 em seu local de origem, deverá atender aos seguintes requisitos:
+ Você deve permitir MediaTailor o acesso ao seu endpoint MediaPackage v2 concedendo acesso principal à **mediatailor.amazonaws.com** em uma Política de Acesso Origin no endpoint.
+ Seu URL base de localização de MediaTailor origem deve ser um endpoint MediaPackage v2.
+ O chamador da API deve ter permissões **mediapackagev2: GetObject** IAM para ler todas as playlists multivariantes referenciadas pelas configurações do pacote de origem. MediaTailor
# Trabalhando com autenticação de token de AWS Secrets Manager acesso
MediaTailor suporta a *autenticação de token de acesso do Secrets Manager*. Com a autenticação do token de AWS Secrets Manager acesso, MediaTailor usa uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente e um AWS Secrets Manager segredo que você cria, possui e gerencia para autenticar solicitações em sua origem.
Nesta seção, explicamos como a autenticação do token de acesso do Secrets Manager funciona e fornecemos step-by-step informações sobre como configurar a autenticação do token de acesso do Secrets Manager. Você pode trabalhar com a autenticação do token de acesso do Secrets Manager no Console de gerenciamento da AWS ou programaticamente com. AWS APIs
**Topics**
+ [Configurando a autenticação do token de AWS Secrets Manager acesso](channel-assembly-access-configuration-access-configuring.md)
+ [Integração com MediaPackage endpoints que usam autorização CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md)
+ [Como funciona a autenticação do token de acesso do MediaTailor Secrets Manager](channel-assembly-access-configuration-overview.md)
# Configurando a autenticação do token de AWS Secrets Manager acesso
Quando quiser usar a autenticação por token de AWS Secrets Manager acesso, execute as seguintes etapas:
1. Você [cria uma chave gerenciada pelo AWS Key Management Service cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
1. Você [cria um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html). O segredo contém seu token de acesso, que é armazenado no Secrets Manager como um valor secreto criptografado. MediaTailor usa a chave gerenciada pelo AWS KMS cliente para descriptografar o valor secreto.
1. Você configura um local AWS Elemental MediaTailor de origem para usar a autenticação do token de acesso do Secrets Manager.
A seção a seguir fornece step-by-step orientação sobre como configurar a autenticação por token de AWS Secrets Manager acesso.
**Topics**
+ [Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente](#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ [Etapa 2: criar um AWS Secrets Manager segredo](#channel-assembly-access-configuration-access-token-how-to-create-secret)
+ [Etapa 3: Configurar um local MediaTailor de origem com autenticação de token de acesso](#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth)
## Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente
Você usa AWS Secrets Manager para armazenar seu token de acesso na forma de um segredo `SecretString` armazenado. O `SecretString` é criptografado por meio do uso de uma *chave AWS KMS simétrica gerenciada pelo cliente* que você cria, possui e gerencia. MediaTailor usa a chave simétrica gerenciada pelo cliente para facilitar o acesso ao segredo com uma concessão e para criptografar e descriptografar o valor secreto.
As chaves gerenciadas pelo cliente permitem que você execute tarefas como as seguintes:
+ Estabelecer e manter as políticas de chave
+ Estabelecer e manter subsídios e IAM policies
+ Habilitar e desabilitar políticas de chaves
+ Material de chave criptográfica rotativa
+ Adicionar tags da
Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico [Como AWS Secrets Manager usar AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) no *Guia do AWS Key Management Service desenvolvedor*.
Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte [Chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
AWS KMS cobranças se aplicam ao uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte a página de [AWS Key Management Service preços](https://aws.amazon.com/kms/pricing/).
Você pode criar uma chave AWS KMS simétrica gerenciada pelo cliente usando o Console de gerenciamento da AWS ou programaticamente com o. AWS KMS APIs
### Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para [criar uma chave simétrica gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no *Guia do AWS Key Management Service desenvolvedor*.
Anote o nome de recurso principal da Amazon (ARN); você precisará dele. [Etapa 2: criar um AWS Secrets Manager segredo](#channel-assembly-access-configuration-access-token-how-to-create-secret)
### Contexto de criptografia
Um *contexto de criptografia* é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.
O Secrets Manager inclui um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html#asm-encryption-context) ao criptografar e descriptografar o. `SecretString` O contexto de criptografia inclui o ARN secreto, que limita a criptografia a esse segredo específico. Como medida adicional de segurança, MediaTailor cria uma AWS KMS concessão em seu nome. MediaTailor aplica uma [GrantConstraints](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html)operação que só nos permite *descriptografar* o ARN `SecretString` associado ao secreto contido no contexto de criptografia do Secrets Manager.
Para obter informações sobre como o Secrets Manager usa o contexto de [criptografia, consulte o tópico Contexto](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) de criptografia no *Guia do AWS Key Management Service desenvolvedor*.
### Definindo a política principal
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar sua chave gerenciada pelo cliente, você pode usar a política de chaves padrão. Para obter mais informações, consulte [Autenticação e controle de acesso para o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Para usar sua chave gerenciada pelo cliente com seus recursos de localização de MediaTailor origem, você deve dar permissão ao diretor do IAM que chama [CreateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_CreateSourceLocation.html)ou [UpdateSourceLocation](https://docs.aws.amazon.com/mediatailor/latest/apireference/API_UpdateSourceLocation.html)usa as seguintes operações de API:
+ `kms:CreateGrant`— Adiciona uma concessão a uma chave gerenciada pelo cliente. MediaTailor cria uma concessão em sua chave gerenciada pelo cliente que permite que ela use a chave para criar ou atualizar um local de origem configurado com autenticação de token de acesso. Para obter mais informações sobre como usar o [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulte o *Guia do AWS Key Management Service desenvolvedor.*
Isso permite MediaTailor fazer o seguinte:
+ Ligue `Decrypt` para que ele possa recuperar com sucesso seu segredo do Secrets Manager ao ligar [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html).
+ Ligue `RetireGrant` para retirar a concessão quando o local de origem for excluído ou quando o acesso ao segredo for revogado.
Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:
```
{
"Sid": "Enable MediaTailor Channel Assembly access token usage for the MediaTailorManagement IAM role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account number:role/MediaTailorManagement"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "mediatailor.region.amazonaws.com"
}
}
}
```
Para obter mais informações sobre como especificar permissões em uma política e solucionar problemas de acesso por chave, consulte [Concessões AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Guia do AWS Key Management Service desenvolvedor*.
## Etapa 2: criar um AWS Secrets Manager segredo
Use o Secrets Manager para armazenar seu token de acesso na forma de um `SecretString` que é criptografado por uma chave gerenciada pelo AWS KMS cliente. MediaTailorusa a chave para descriptografar o. `SecretString` Para obter informações sobre como o Secrets Manager usa AWS KMS para proteger segredos, consulte o tópico [Como AWS Secrets Manager usar AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) no *Guia do AWS Key Management Service desenvolvedor*.
Se você usa AWS Elemental MediaPackage como origem do local de origem e gostaria de usar a autenticação por token de acesso do MediaTailor Secrets Manager, siga o procedimento[Integração com MediaPackage endpoints que usam autorização CDN](channel-assembly-access-configuration-access-token-integrating-emp-cdn-auth.md).
Você pode criar um segredo do Secrets Manager usando o Console de gerenciamento da AWS ou programaticamente com o Secrets Manager. APIs
### Como criar um segredo
Siga as etapas para [Criar e gerenciar segredos AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) no *Guia do AWS Secrets Manager usuário*.
Lembre-se das seguintes considerações ao criar seu segredo:
+ [KmsKeyId](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicaRegionType.html#SecretsManager-Type-ReplicaRegionType-KmsKeyId)Deve ser o [ARN da chave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) gerenciada pelo cliente que você criou na Etapa 1.
+ Você deve fornecer um [SecretString](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html#SecretsManager-CreateSecret-request-SecretString). `SecretString`Deve ser um objeto JSON válido que inclua uma chave e um valor contendo o token de acesso. Por exemplo, \$1” MyAccessTokenIdentifier “:"112233445566"\$1. O valor deve ter entre 8 e 128 caracteres.
Ao configurar seu local de origem com a autenticação do token de acesso, você especifica a `SecretString` chave. MediaTailor usa a chave para pesquisar e recuperar o token de acesso armazenado no`SecretString`.
Anote o ARN secreto e a `SecretString` chave. Você os usará ao configurar seu local de origem para usar a autenticação por token de acesso.
### Anexando uma política secreta baseada em recursos
Para permitir o MediaTailor acesso ao valor secreto, você deve anexar uma política baseada em recursos ao segredo. Para obter mais informações, consulte [Anexar uma política de permissões a um segredo do Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) no *Guia AWS Secrets Manager do Usuário*.
Veja a seguir um exemplo de declaração de política que você pode adicionar para MediaTailor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediatailor.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
}
]
}
```
------
## Etapa 3: Configurar um local MediaTailor de origem com autenticação de token de acesso
Você pode configurar a autenticação do token de acesso do Secrets Manager usando o Console de gerenciamento da AWS ou programaticamente com o. MediaTailor APIs
**Para configurar um local de origem com a autenticação de token de acesso do Secrets Manager**
Siga as etapas [Access configuration](channel-assembly-creating-source-locations.md#access-configuration-console) do *Guia do AWS Elemental MediaTailor usuário*.
# Integração com MediaPackage endpoints que usam autorização CDN
Se você usa AWS Elemental MediaPackage como origem de localização de origem, MediaTailor pode se integrar com MediaPackage endpoints que usam autorização CDN.
Para fazer a integração com um MediaPackage endpoint que usa autorização CDN, use o procedimento a seguir.
**Para integrar com MediaPackage**
1. Conclua as etapas em [Configurar a autorização de CDN](https://docs.aws.amazon.com/mediapackage/latest/ug/cdn-auth-setup.html) no *Guia AWS Elemental MediaPackage do usuário*, caso ainda não tenha feito isso.
1. Conclua o procedimento em [Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms).
1. Modifique o segredo que você criou ao configurar a autorização de MediaPackage CDN. Modifique o segredo com os seguintes valores:
+ Atualize o `KmsKeyId` com o ARN da chave gerenciada pelo cliente que você criou em. [Etapa 1: criar uma chave AWS KMS simétrica gerenciada pelo cliente](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-create-kms)
+ (Opcional) Para o`SecretString`, você pode alternar o UUID para um novo valor ou usar o segredo criptografado existente, desde que seja um par de chave e valor em um formato JSON padrão, como. `{"MediaPackageCDNIdentifier": "112233445566778899"}`
1. Siga as etapas em [Anexando uma política secreta baseada em recursos](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-secret-policy).
1. Siga as etapas em [Etapa 3: Configurar um local MediaTailor de origem com autenticação de token de acesso](channel-assembly-access-configuration-access-configuring.md#channel-assembly-access-configuration-access-token-how-to-enable-access-token-auth).
# Como funciona a autenticação do token de acesso do MediaTailor Secrets Manager
Depois de criar ou atualizar um local de origem para usar a autenticação do token de acesso, MediaTailor inclua o token de acesso em um cabeçalho HTTP ao solicitar manifestos de conteúdo de origem de sua origem.
Aqui está uma visão geral de como MediaTailor usa a autenticação de token de acesso do Secrets Manager para autenticação de origem do local de origem:
1. Quando você cria ou atualiza um local de MediaTailor origem que usa autenticação de token de acesso, MediaTailor envia uma [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html#SecretsManager-DescribeSecret-request-SecretId)solicitação ao Secrets Manager para determinar a AWS KMS chave associada ao segredo. Você inclui o ARN secreto na configuração de acesso à localização de origem.
1. MediaTailor cria uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para a chave gerenciada pelo cliente, para que MediaTailor possa usar a chave para acessar e descriptografar o token de acesso armazenado no. SecretString O nome do subsídio será`MediaTailor-SourceLocation-your Conta da AWS ID-source location name`.
Você pode revogar o acesso à concessão ou remover MediaTailor o acesso à chave gerenciada pelo cliente a qualquer momento. Para obter mais informações, consulte [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) na *Referência de APIs do AWS Key Management Service *.
1. Quando uma fonte de VOD é criada, atualizada ou usada em um programa, MediaTailor faz solicitações HTTP aos locais de origem para recuperar os manifestos de conteúdo de origem associados às fontes de VOD no local de origem. Se a fonte de VOD estiver associada a um local de origem que tenha um token de acesso configurado, as solicitações incluirão o token de acesso como um valor de cabeçalho HTTP.