本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Sig AWS Elemental MediaTailor V4 保护源站互动
<a name="origin-sigv4"></a>

签名版本 4 (Sigv4) 是一种签名协议，用于通过 HTTPS 对发往受支持来源的 MediaTailor 请求进行身份验证。 MediaTailor 仅支持 HTTPS 通信，不允许 HTTP 连接。使用 Sigv4 签名，在向 MediaTailor 频道组装、Amazon S3 和 AWS Elemental MediaPackage 版本 2 发出的HTTPS源请求中 MediaTailor 包含签名的授权标头。

你可以在源站使用 SigV4 来确保清单请求只有来自 MediaTailor 并包含签名的授权标头时才会得到满足。这样，未经授权的 MediaTailor播放配置就会被阻止访问您的原始内容。如果签名的授权标头有效，则您的来源满足请求。如果无效，则请求失败。

以下各节描述了对支持的源使用 MediaTailor Sigv4 签名的要求。

## MediaTailor 频道组装要求
<a name="origin-sigv4-ca"></a>

如果您使用 SigV4 来保护您的 MediaTailor 频道集合来源，则必须满足以下要求 MediaTailor 才能访问清单：
+ 您的 MediaTailor 配置中的来源基本 URL 必须是采用以下格式的频道集合频道：`channel-assembly.mediatailor.{{region}}.amazonaws.com`
+ 您的源必须配置为使用 HTTPS。 MediaTailor 仅支持 HTTPS 通信，不允许 HTTP 连接。如果源站未启用 HTTPS，则 MediaTailor 不会对请求进行签名。
+ 您的频道必须有包含以下内容的源站访问政策：
  + 访问您的频道 MediaTailor 的委托人访问权限。授予访问 **mediata** ilor.amazonaws.com 的访问权限。
  + IAM 权限 **mediatailor：**读GetManifest 取配置引用的所有多变体播放列表。 MediaTailor 

  有关在频道上设置政策的信息，请参阅[使用 MediaTailor 控制台创建频道](channel-assembly-creating-channels.md)。

**Example Channel Assembly 的源站访问策略，范围限于 MediaTailor 配置账户**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
```

**Example Channel Assembly 的源站访问策略，范围限于 MediaTailor 播放配置**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}
```

## 亚马逊 S3 要求
<a name="origin-sigv4-s3"></a>

如果您使用 Sigv4 来保护您的 Amazon S3 来源，则必须满足以下要求 MediaTailor 才能访问清单：
+ 您的 MediaTailor 配置中的源基本 URL 必须是采用以下格式的 S3 存储桶：`s3.{{region}}.amazonaws.com`
+ 您的源必须配置为使用 HTTPS。 MediaTailor 仅支持 HTTPS 通信，不允许 HTTP 连接。如果源站未启用 HTTPS，则 MediaTailor 不会对请求进行签名。
+ 您的频道必须有包含以下内容的源站访问政策：
  + 访问您的存储桶 MediaTailor 的委托人访问权限。授予访问 **mediata** ilor.amazonaws.com 的访问权限。

    有关在 IAM 中配置访问权限的信息，请参阅 A *WS Identity and A [c](https://docs.aws.amazon.com/) cess Management 用户指南中的访问管理*。
  + IAM 权限 **s3：GetObject **读取 MediaTailor 配置引用的所有顶级清单。

 *有关亚马逊 S3 版 Sigv4 的一般信息，请参阅亚马逊 S3 API 参考中的[身份验证请求（AWS 签名版本 4）](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)主题。*

**Example Amazon S3 的源站访问策略，范围限于账户 MediaTailor**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
```

**Example Amazon S3 的源站访问策略，范围限于 MediaTailor 播放配置**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}
```

## MediaPackage 要求
<a name="origin-sigv4-mp"></a>

如果您使用 SigV4 来保护您的 MediaPackage v2 来源，则必须满足以下要求 MediaTailor 才能访问清单：
+ 您的 MediaTailor 配置中的源基本 URL 必须是采用以下格式的 MediaPackage v2 终端节点：`mediapackagev2.{{region}}.amazonaws.com`
+ 您的源必须配置为使用 HTTPS。 MediaTailor 仅支持 HTTPS 通信，不允许 HTTP 连接。如果源站未启用 HTTPS，则 MediaTailor 不会对请求进行签名。
+ 您的频道必须有包含以下内容的源站访问政策：
  + 访问您的终端节点 MediaTailor 的委托人访问权限。授予访问 **mediata** ilor.amazonaws.com 的访问权限。
  + IAM 权限 **mediapackagev2：**读取配置GetObject 引用的所有多变体播放列表。 MediaTailor 

 *有关 v2 版 Sigv4 的一般信息，请参阅 MediaPackage v2 API 参考中的[身份验证请求（AWS 签名版本 4）](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)主题。MediaPackage *

**Example MediaPackage v2 的源站访问策略，范围限于账户 MediaTailor**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
```

**Example MediaPackage v2 的源站访问策略，范围限于播放配置 MediaTailor**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}
```