本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 保護與 SigV4 的 AWS Elemental MediaTailor 原始伺服器互動
<a name="origin-sigv4"></a>

Signature 第 4 版 (SigV4) 是一種簽署通訊協定，用於驗證透過 HTTPS 對支援原始伺服器的 MediaTailor 請求。MediaTailor 僅支援 HTTPS 通訊，不允許 HTTP 連線。透過 SigV4 簽署，MediaTailor 會在對 MediaTailor Channel Assembly、Amazon S3 和第 2 AWS Elemental MediaPackage 版提出的 HTTPS 原始伺服器請求中包含已簽署的授權標頭。

您可以在原始伺服器使用 SigV4，以確保資訊清單請求只有在來自 MediaTailor 且包含已簽署的授權標頭時才會滿足。如此一來，未經授權的 MediaTailor 播放組態會遭到封鎖，無法存取原始伺服器內容。如果已簽署的授權標頭有效，您的原始伺服器會滿足請求。如果無效，請求會失敗。

下列各節說明對支援的原始伺服器使用 MediaTailor SigV4 簽署的要求。

## MediaTailor 頻道組件需求
<a name="origin-sigv4-ca"></a>

如果您使用 SigV4 來保護 MediaTailor Channel Assembly 原始伺服器，MediaTailor 必須滿足下列要求才能存取資訊清單：
+ MediaTailor 組態中的原始伺服器基本 URL 必須是下列格式的頻道組合頻道： `channel-assembly.mediatailor.{{region}}.amazonaws.com`
+ 您的原始伺服器必須設定為使用 HTTPS。MediaTailor 僅支援 HTTPS 通訊，不允許 HTTP 連線。如果原始伺服器未啟用 HTTPS，MediaTailor 將不會簽署請求。
+ 您的頻道必須具有包含下列項目的原始存取政策：
  + MediaTailor 存取您頻道的主要存取權。授予 **mediatailor.amazonaws.com** 的存取權。
  + IAM 許可 **mediatailor：GetManifest **讀取 MediaTailor 組態參考的所有多變體播放清單。

  如需在頻道上設定政策的資訊，請參閱 [使用 MediaTailor 主控台建立頻道](channel-assembly-creating-channels.md)。

**Example Channel Assembly 的原始存取政策，範圍限定於 MediaTailor 組態帳戶**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
```

**Example 頻道組件的原始存取政策，範圍為 MediaTailor 播放組態**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}
```

## Amazon S3 需求
<a name="origin-sigv4-s3"></a>

如果您使用 SigV4 來保護 Amazon S3 原始伺服器，MediaTailor 必須滿足下列要求，才能存取資訊清單：
+ MediaTailor 組態中的原始伺服器基本 URL 必須是 S3 儲存貯體，格式如下： `s3.{{region}}.amazonaws.com`
+ 您的原始伺服器必須設定為使用 HTTPS。MediaTailor 僅支援 HTTPS 通訊，不允許 HTTP 連線。如果原始伺服器未啟用 HTTPS，MediaTailor 將不會簽署請求。
+ 您的頻道必須具有包含下列項目的原始存取政策：
  + MediaTailor 存取儲存貯體的主要存取權。授予 **mediatailor.amazonaws.com 的存取權。**

    如需在 IAM 中設定存取權的資訊，請參閱《AWS Identity and Access [Management](https://docs.aws.amazon.com/) 使用者指南》中的存取管理。 *AWS Identity and Access Management * 
  + IAM 許可 **s3：GetObject **讀取 MediaTailor 組態參考的所有最上層資訊清單。

 如需 SigV4 for Amazon S3 的一般資訊，請參閱 *Amazon S3 API 參考*中的[驗證請求 (AWS Signature 第 4 版）](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) 主題。

**Example Amazon S3 的原始存取政策，範圍限定於 MediaTailor 帳戶**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
```

**Example Amazon S3 的原始存取政策，範圍為 MediaTailor 播放組態**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}
```

## MediaPackage 需求
<a name="origin-sigv4-mp"></a>

如果您使用 SigV4 來保護 MediaPackage v2 原始伺服器，MediaTailor 必須滿足下列要求才能存取資訊清單：
+ MediaTailor 組態中的原始伺服器基本 URL 必須是 MediaPackage v2 端點，格式如下： `mediapackagev2.{{region}}.amazonaws.com`
+ 您的原始伺服器必須設定為使用 HTTPS。MediaTailor 僅支援 HTTPS 通訊，不允許 HTTP 連線。如果原始伺服器未啟用 HTTPS，MediaTailor 將不會簽署請求。
+ 您的頻道必須具有原始存取政策，其中包含下列項目：
  + MediaTailor 存取端點的主要存取權。授予 **mediatailor.amazonaws.com 的存取權。**
  + IAM 許可 **mediapackagev2：GetObject **讀取 MediaTailor 組態參考的所有多變體播放清單。

 如需 SigV4 for MediaPackage v2 的一般資訊，請參閱 *MediaPackage v2 API 參考*中的[驗證請求 (AWS Signature 第 4 版）](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) 主題。

**Example MediaPackage v2 的原始存取政策，範圍限定於 MediaTailor 帳戶**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
```

**Example MediaPackage v2 的原始存取政策，範圍限定於 MediaTailor 播放組態**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}
```