Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# CDN-Autorisierung in AWS Elemental MediaPackage
Die*Content Delivery Network (CDN)-Autorisierung* hilft Ihnen, Ihre Inhalte vor unbefugter Verwendung zu schützen. Wenn Sie die CDN-Autorisierung konfigurieren, werden MediaPackage nur Wiedergabeanforderungen erfüllt, die zwischen MediaPackage und Ihrem CDN autorisiert sind. Dies verhindert, dass Benutzer das CDN umgehen, um direkt auf Ihre Inhalte auf dem Ursprung zugreifen zu können.
## Funktionsweise
Sie konfigurieren Ihr CDN, z. B. Amazon CloudFront, so, dass Inhaltsanfragen an einen *benutzerdefinierten HTTP-Header* enthalten. MediaPackage
Benutzerdefinierter HTTP-Header und Beispielwert.
```
X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660
```
Sie speichern den Header-Wert als *Secret* in AWS Secrets Manager. Wenn Ihr CDN eine Wiedergabeanforderung sendet, MediaPackage wird überprüft, ob der Wert des Geheimnisses mit dem benutzerdefinierten HTTP-Header-Wert übereinstimmt. MediaPackage erhält die Erlaubnis, das Geheimnis mit einer AWS Identity and Access Management Berechtigungsrichtlinie und einer Rolle zu lesen.
Geheimer Schlüssel und Beispielwert.
```
{“MediaPackageCDNIdentifier”: "9ceebbe7-9607-4552-8764-876e47032660"}
```
Wenn die Werte übereinstimmen, MediaPackage wird der Inhalt zusammen mit einem `200 OK` HTTP-Statuscode bereitgestellt. Wenn keine Übereinstimmung vorliegt oder die Autorisierungsanfrage fehlschlägt, wird der Inhalt MediaPackage nicht bereitgestellt und es wird ein `403 Unauthorized` HTTP-Statuscode gesendet.
Das folgende Bild zeigt die erfolgreiche CDN-Autorisierung mit Amazon CloudFront.
![\[Das Bild zeigt einen erfolgreichen CDN-Authentifizierungsfluss. Unten links wird ein Wiedergabegerät angezeigt, das Inhalte von Amazon anfordert, CloudFront was durch einen Pfeil gekennzeichnet ist. CloudFront enthält den benutzerdefinierten HTTP-Header und den Wert in der Anfrage an MediaPackage, was durch einen Pfeil gekennzeichnet ist. MediaPackage fordert die geheimen Informationen von an AWS Secrets Manager, was durch einen Pfeil gekennzeichnet ist. Dies hängt von der Genehmigung von IAM ab. AWS Secrets Manager antwortet mit dem geheimen Wert auf MediaPackage. MediaPackage überprüft, ob das Geheimnis mit dem Header-Wert übereinstimmt, der durch ein grünes Kästchen gekennzeichnet ist. MediaPackage sendet einen 200 OK HTTP-Statuscode zusammen mit Videoinhalten an CloudFront. CloudFront überträgt den Videoinhalt an das Wiedergabegerät.\]](http://docs.aws.amazon.com/de_de/mediapackage/latest/ug/images/cdn_auth.png)
step-by-stepAnweisungen zum Einrichten der CDN-Autorisierung finden Sie unter[CDN-Autorisierung einrichten](cdn-auth-setup.md).
# CDN-Autorisierung einrichten
Führen Sie die folgenden Schritte aus, um die CDN-Autorisierung einzurichten.
**Topics**
+ [Schritt 1: Konfigurieren eines benutzerdefinierten CDN-Ursprungs-HTTP-Headers](#cdn-aut-setup-cdn)
+ [Schritt 2: Speichern Sie den Wert als Geheimnis in AWS Secrets Manager](#cdn-aut-setup-secret)
+ [Schritt 3: Erstellen Sie eine IAM-Richtlinie und Rolle für den MediaPackage Zugriff auf Secrets Manager](#cdn-aut-setup-iam)
+ [Schritt 4: Aktivieren Sie die CDN-Autorisierung in MediaPackage](#cdn-aut-setup-endpoint)
## Schritt 1: Konfigurieren eines benutzerdefinierten CDN-Ursprungs-HTTP-Headers
Konfigurieren Sie in Ihrem CDN einen benutzerdefinierten Ursprungs-HTTP-Header, der den Header **X-MediaPackage-CDNIdentifier** und einen Wert enthält. Für den Wert empfehlen wir, das Format [UUID Version 4](https://www.ietf.org/rfc/rfc4122.txt) zu verwenden, das eine 36-stellige Zeichenfolge erzeugt. Wenn Sie das UUID-Format Version 4 nicht verwenden, muss der Wert 8 - 128 Zeichen lang sein.
Wenn Ihr CDN Autorisierungsheader konfiguriert hat, wird ein Fehler 404 MediaPackage zurückgegeben, bis die CDN-Autorisierung auf dem Endpunkt aktiviert ist.
**Wichtig**
Der von Ihnen gewählte Wert sollte ein statischer Wert sein. Es gibt keine native Integration zwischen Ihrem CDN und AWS Secrets Manager, daher sollte der Wert sowohl in Ihrem CDN als auch in statisch sein. AWS Secrets Manager Wenn Sie diesen Wert ändern, nachdem Sie Ihr CDN und Ihr Secret konfiguriert haben, müssen Sie den Wert manuell rotieren. Weitere Informationen finden Sie unter [Rotieren des CDN-Header-Werts](cdn-auth-rotate.md).
**Beispiel-Header und -Wert**
```
X-MediaPackage-CDNIdentifier: 9ceebbe7-9607-4552-8764-876e47032660
```
**Um eine benutzerdefinierte Kopfzeile in Amazon zu erstellen CloudFront**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Erstellen oder bearbeiten Sie eine Verteilung.
1. Füllen Sie unter **Origin Settings (Ursprungseinstellungen)** die Felder aus. Sie werden denselben Wert für Ihr Geheimnis in Secrets Manager verwenden.
+ Geben Sie unter **Header Name (Header-name)** den Namen **X-MediaPackage-CDNIdentifier** ein.
+ Geben Sie unter **Value (Wert)** einen Wert ein. Wir empfehlen, das UUID-Format der Version 4 zu verwenden, das eine 36-stellige Zeichenfolge erzeugt. Wenn Sie das UUID-Format Version 4 nicht verwenden, muss der Wert 8 - 128 Zeichen lang sein.
1. Füllen Sie die restlichen Felder aus, und speichern Sie die Verteilung.
Weitere Informationen zu benutzerdefinierten Headern finden Sie unter [Kunden-Header an Ihren Absender weiterleiten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html) im *Amazon CloudFront Developer Guide*. CloudFront
## Schritt 2: Speichern Sie den Wert als Geheimnis in AWS Secrets Manager
Speichern Sie den gleichen Wert, den Sie in Ihrem benutzerdefinierten Ursprungs-HTTP-Header als *Secret* verwenden, in AWS Secrets Manager. Für das Geheimnis müssen dieselben AWS Konto- und Regionseinstellungen verwendet werden wie für Ihre AWS Elemental MediaPackage Ressourcen. MediaPackageunterstützt das Teilen von Geheimnissen zwischen Konten oder Regionen nicht. Sie können jedoch dasselbe Secret über mehrere Endpunkte in derselben Region hinweg und auf demselben Konto verwenden.
**Um ein Geheimnis in Secrets Manager zu speichern**
1. Melden Sie sich bei der AWS Secrets Manager Konsole an unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern). Wählen Sie **unter Geheimtyp** die Option **Andere Art von Geheimnissen aus**.
1. Geben Sie für **Schlüssel/Wert-Paare** die Schlüssel- und Wertinformationen ein.
+ Geben Sie im Feld auf der linken Seite **MediaPackageCDNIdentifier** ein.
+ Geben Sie in das Feld auf der rechten Seite den Wert ein, den Sie für den benutzerdefinierten HTTP-Header konfiguriert haben. Beispiel, `9ceebbe7-9607-4552-8764-876e47032660`.
1. Für den **Verschlüsselungsschlüssel** können Sie den Standardwert beibehalten. **DefaultEncryptionKey**
1. Wählen Sie **Weiter** aus.
1. Für **Secret name (Name des Secrets)** empfehlen wir, dass Sie ihm das Präfix **MediaPackage/** voranstellen, damit Sie wissen, dass es sich um ein Secret handelt, das für MediaPackage verwendet wird. Beispiel, **MediaPackage/cdn\$1auth\$1us-west-2**.
1. Wählen Sie **Weiter** aus.
1. Behalten Sie für **Configure automatic rotation (Automatische Rotation konfigurieren)** die Standardeinstellung **Disable automatic rotation (Automatische Rotation deaktivieren)** bei.
Informationen zum späteren Rotieren des Autorisierungscodes finden Sie unter [Rotieren des CDN-Header-Werts](cdn-auth-rotate.md).
1. Wählen Sie **Next (Weiter)** und anschließend **Store (Speichern)**.
Dies führt Sie zur Liste Ihrer Secrets.
1. Wählen Sie den Namen Ihres Secrets aus, um den **Secret ARN** anzuzeigen. Der ARN hat einen ähnlichen Wert wie `arn:aws:secretsmanager:us-west-2:123456789012:secret:MediaPackage/cdn_auth_test-xxxxxx`. Sie verwenden den Secret ARN, wenn Sie die CDN-Autorisierung für MediaPackage in Schritt 4: Aktivieren der CDN-Autorisierung in MediaPackage konfigurieren.
## Schritt 3: Erstellen Sie eine IAM-Richtlinie und Rolle für den MediaPackage Zugriff auf Secrets Manager
Erstellen Sie eine IAM-Richtlinie und -Rolle, um Secrets Manager MediaPackage Lesezugriff zu gewähren. Wenn MediaPackage eine Wiedergabeanforderung vom CDN empfängt, wird überprüft, ob der gespeicherte Secret-Wert mit dem Wert im benutzerdefinierten HTTP-Header übereinstimmt. Führen Sie die Schritte unter aus [Zugriff AWS Elemental MediaPackage auf andere AWS Dienste zulassen](setting-up-create-trust-rel.md), um die Richtlinie und Rolle einzurichten.
## Schritt 4: Aktivieren Sie die CDN-Autorisierung in MediaPackage
Sie können die CDN-Autorisierung für Ihre Endgeräte oder Video-on-Demand-Paketgruppen (VOD) mit der MediaPackage Konsole oder der API aktivieren. AWS CLI MediaPackage Sie verwenden den ARN für die IAM-Richtlinie und -Rolle, die Sie in Schritt 3: Erstellen einer IAM-Richtlinie und -Rolle für den MediaPackage Zugriff auf Secrets Manager erstellt haben.
**Tipp**
Verwenden Sie dasselbe Secret über mehrere Endpunkte in derselben Region und in demselben Konto. Sie können Ihre Kosten senken, indem Sie nur dann ein neues Secret erstellen, wenn dies für Ihren Workflow erforderlich ist.
Wenn Ihr CDN Autorisierungsheader konfiguriert hat, wird ein Fehler 404 MediaPackage zurückgegeben, bis die CDN-Autorisierung auf dem Endpunkt aktiviert ist.
**Um die CDN-Autorisierung für Live-Inhalte mit der Konsole zu aktivieren**
1. Öffnen Sie die MediaPackage Konsole unter. [https://console.aws.amazon.com/mediapackage/](https://console.aws.amazon.com/mediapackage/)
1. Wenn Sie noch keinen Channel haben, erstellen Sie einen. Weitere Informationen dazu finden Sie unter [Erstellen eines Channels](channels-create.md).
1. Erstellen oder bearbeiten Sie einen Endpunkt.
1. Wählen Sie in **den Einstellungen für die Zugriffskontrolle** die Option **CDN-Autorisierung verwenden** aus. Füllen Sie die Felder aus:
+ Geben Sie unter **Secrets-Rolle ARN** den ARN für die IAM-Rolle ein, in [Schritt 3: Erstellen Sie eine IAM-Richtlinie und Rolle für den MediaPackage Zugriff auf Secrets Manager](#cdn-aut-setup-iam) der Sie erstellt haben.
+ Geben Sie **unter CDN Identifier Secret ARN** den ARN für das Secret in Secrets Manager ein, das Ihr CDN für die Autorisierung des Zugriffs auf Ihren Endpunkt verwendet.
1. Füllen Sie die verbleibenden Felder nach Bedarf aus und speichern Sie den Endpunkt.
**Um die CDN-Autorisierung für VOD-Inhalte mit der Konsole zu aktivieren**
1. Öffnen Sie die MediaPackage Konsole unter. [https://console.aws.amazon.com/mediapackage/](https://console.aws.amazon.com/mediapackage/)
1. Wenn Sie noch keine VOD-Verpackungsgruppe haben, erstellen Sie eine. Weitere Informationen dazu finden Sie unter [Eine Verpackungsgruppe erstellen](pkg-group-create.md).
1. Erstellen oder bearbeiten Sie eine Verpackungsgruppe.
1. Wählen **Sie unter Zugriffskontrolle konfigurieren** die Option **Autorisierung aktivieren** aus. Füllen Sie die Felder aus:
+ Geben Sie unter **Secrets-Rolle ARN** den ARN für die IAM-Rolle ein, in [Schritt 3: Erstellen Sie eine IAM-Richtlinie und Rolle für den MediaPackage Zugriff auf Secrets Manager](#cdn-aut-setup-iam) der Sie erstellt haben.
+ Geben Sie **unter CDN Identifier Secret ARN** den ARN für das Secret in Secrets Manager ein, das Ihr CDN für die Autorisierung des Zugriffs auf Ihren Endpunkt verwendet.
1. Füllen Sie die verbleibenden Felder nach Bedarf aus, und speichern Sie die Verteilung.
Sie haben nun die Einrichtung für die CDN-Autorisierung abgeschlossen. Anfragen an diesen Endpunkt müssen denselben Autorisierungscode enthalten, den Sie in Secrets Manager gespeichert haben.
**Um die CDN-Autorisierung mit der MediaPackage API zu aktivieren**
Informationen zur Aktivierung der CDN-Autorisierung mit der MediaPackage API finden Sie in den folgenden API-Referenzen:
+ [MediaPackage Live-API-Referenz](https://docs.aws.amazon.com/mediapackage/latest/apireference/resources.html)
+ [MediaPackage VOD-API-Referenz](https://docs.aws.amazon.com/mediapackage-vod/latest/apireference/)
# Rotieren des CDN-Header-Werts
Wenn Sie den benutzerdefinierten CDN-HTTP-Header-Wert ändern, müssen Sie den gespeicherten geheimen Wert in Secrets Manager rotieren. Das folgende Verfahren beschreibt, wie Sie Ihren Wert in Secrets Manager rotieren, um sicherzustellen, dass der HTTP-Header-Wert Ihres CDN und der gespeicherte geheime Wert von Secrets Manager synchron sind.
**So rotieren Sie den Wert:**
1. Aktualisieren Sie den Wert für das gespeicherte Geheimnis in Secrets Manager, wie unter [Ändern eines Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html) im *AWS Secrets Manager Benutzerhandbuch* beschrieben.
MediaPackage Autorisiert Anfragen, die entweder den aktuellen Wert in Secrets Manager oder eine frühere Version verwenden, um die kontinuierliche Wiedergabe für aktive Streams sicherzustellen.
1. Warten Sie 10 Minuten MediaPackage , bis Sie feststellen, dass sich der Wert in Secrets Manager geändert hat.
1. Aktualisieren Sie in Ihrem CDN den Wert in `X-MediaPackage-CDNIdentifier` auf den neuen Autorisierungscode.
1. Warten Sie, bis Ihr CDN vollständig mit dem neuen Wert aktualisiert wurde, bevor Sie über es Anforderungen an MediaPackage senden.
Um den vorherigen Secret-Wert zu deaktivieren, speichern Sie den neuen Secret-Wert zweimal. Auf diese Weise haben sowohl die aktuelle als auch die vorherige Secret-Version den gleichen Wert.