Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données pour AWS Elemental MediaConnect
Vous pouvez protéger vos données à l'aide des outils fournis par AWS. AWS Elemental MediaConnect peut déchiffrer votre vidéo entrante (source de flux ou entrée du routeur) et chiffrer votre vidéo sortante (sorties de flux, sorties du routeur et droits).
Trois options s'offrent à vous pour chiffrer le contenu en transit :
+ **Chiffrement par clé statique :** vous pouvez utiliser cette option pour chiffrer les sources de flux, les sorties de flux, le routeur I/O et les droits. Vous stockez votre clé de chiffrement dans AWS Secrets Manager, puis vous MediaConnect autorisez l'obtention de la clé de chiffrement auprès de Secrets Manager.
Avantages : Vous avez un contrôle total sur le stockage de la clé de chiffrement de votre compte. La clé est stockée dans AWS Secrets Manager un endroit où vous pouvez y accéder à tout moment.
Difficultés : Toutes les parties (les propriétaires du flux ou de la source d'entrée du routeur, du flux, des sorties du flux ou du routeur et des droits) ont besoin de la clé de chiffrement. Si le contenu est partagé à l'aide d'un droit, l'auteur et l'abonné doivent enregistrer la clé de chiffrement. AWS Secrets Manager Si la clé de chiffrement change, vous devez informer toutes les parties de la nouvelle clé.
+ **Secure Packager and Encoder Key Exchange (SPEKE) :** vous pouvez utiliser cette option pour chiffrer le contenu envoyé via un droit. Vous vous associez à un fournisseur de clés de plateforme d'accès conditionnel (CA) qui gère et fournit les clés de chiffrement. Vous autorisez ensuite Amazon API Gateway à agir en tant que proxy entre le fournisseur de clés de la plateforme CA et votre AWS compte.
Avantages : L'auteur du contenu contrôle totalement l'accès à la clé de chiffrement. En tant que créateur de contenu, vous travaillez en partenariat avec votre fournisseur de clés de plate-forme CA qui gère la clé de chiffrement, mais vous ne gérez pas la clé elle-même et vous ne la partagez pas avec d'autres parties. Selon les capacités de votre fournisseur de clés, cette option vous permet d'attribuer des limites de temps à une clé de chiffrement ou de révoquer complètement la clé. L'abonné n'a pas besoin de configurer le chiffrement. Ces informations sont automatiquement fournies par le biais de l'autorisation.
Difficultés : Vous devez travailler avec un tiers (le principal fournisseur).
+ **Chiffrement du mot de passe SRT (Secure Reliable Transport) :** vous pouvez utiliser cette option pour chiffrer les sources de flux, les sorties de flux et le routeur I/O lorsque vous utilisez les protocoles SRT. Les protocoles SRT sont des protocoles à haute disponibilité et à faible latence adaptés aux applications longue distance. Vous stockez votre mot de passe de chiffrement dans AWS Secrets Manager, puis vous MediaConnect autorisez l'obtention du mot de passe de cryptage auprès de Secrets Manager.
Avantages : Utilise le protocole AES avec des longueurs de clé de 128, 192 ou 256 bits. Vous avez un contrôle total sur le stockage du mot de passe de chiffrement. Le mot de passe est enregistré dans AWS Secrets Manager un endroit où vous pouvez y accéder à tout moment.
Défis : Utilisable uniquement avec les protocoles SRT.
**Note**
Le chiffrement est pris en charge pour les droits, les sources de flux et les sorties qui utilisent les protocoles Zixi ou SRT, ainsi que pour les routeurs I/O qui utilisent le protocole SRT.
**Topics**
+ [Chiffrement par clé statique dans AWS Elemental MediaConnect](encryption-static-key.md)
+ [Chiffrement SPEKE dans AWS Elemental MediaConnect](encryption-speke.md)
+ [Chiffrement des mots de passe SRT dans AWS Elemental MediaConnect](encryption-srt-password.md)
+ [Confidentialité du trafic inter-réseau](internetwork-traffic-privacy.md)
# Chiffrement par clé statique dans AWS Elemental MediaConnect
Vous pouvez utiliser le chiffrement par clé statique pour protéger vos sources, vos sorties, vos droits et les E/S du routeur. Vous y stockez votre clé de chiffrement AWS Secrets Manager, puis vous MediaConnect autorisez l'obtention de la clé de chiffrement auprès de Secrets Manager.
**Topics**
+ [Gestion des clés pour le chiffrement par clé statique](encryption-static-key-key-management.md)
+ [Configuration du chiffrement par clé statique à l'aide d'AWS Elemental MediaConnect](encryption-static-key-set-up.md)
# Gestion des clés pour le chiffrement par clé statique
Dans AWS Elemental MediaConnect, vous pouvez utiliser le chiffrement par clé statique pour sécuriser le contenu des sources, des sorties, des droits et des E/S du routeur. Pour utiliser cette méthode, vous stockez une clé de chiffrement sous forme de *secret* et vous autorisez AWS Elemental à AWS Secrets Manager accéder à ce secret. MediaConnect Secrets Manager protège votre clé de chiffrement, en permettant uniquement aux entités que vous spécifiez dans une politique Gestion des identités et des accès AWS (IAM) d'y accéder.
Avec le chiffrement par clé statique, tous les participants (le propriétaire de la source du flux, du flux, des sorties du flux, des droits et des E/S du routeur) ont besoin de la clé de chiffrement. Si le contenu est partagé à l'aide d'un droit, les deux propriétaires du AWS compte doivent y stocker la clé de chiffrement. AWS Secrets Manager
Pour de plus amples informations, veuillez consulter [Configuration du chiffrement par clé statique](encryption-static-key-set-up.md).
# Configuration du chiffrement par clé statique à l'aide d'AWS Elemental MediaConnect
Avant de créer un flux ou un routeur I/O avec une source ou une sortie chiffrée, ou une autorisation utilisant le chiffrement par clé statique, vous devez effectuer les étapes suivantes :
**[Étape 1](#encryption-static-key-set-up-store-key)** — Stockez votre clé de chiffrement en tant que secret dans AWS Secrets Manager.
**[Étape 2](#encryption-static-key-set-up-create-iam-policy)** — Créez une politique IAM qui permet à AWS MediaConnect Elemental de lire le secret dans lequel vous l'avez stocké. AWS Secrets Manager
**[Étape 3](#encryption-static-key-set-up-create-iam-role)** — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental MediaConnect en tant qu'entité de confiance autorisée à assumer ce rôle et à effectuer des demandes au nom de votre compte.
**Note**
MediaConnect prend en charge le chiffrement uniquement pour les droits, les sources de flux et les sorties qui utilisent les protocoles Zixi ou SRT, et pour les routeurs I/O qui utilisent le protocole SRT. Votre clé enregistrée dans Secrets Manager pour le protocole Zixi est une clé statique au format hexadécimal. SRT utilise une clé d'accès pour le chiffrement.
## Étape 1 : Stockez votre clé de chiffrement dans AWS Secrets Manager
Pour utiliser le chiffrement par clé statique afin de chiffrer votre contenu AWS MediaConnect Elemental, vous devez AWS Secrets Manager créer un secret qui stocke la clé de chiffrement. Vous devez créer le secret et la ressource (source, sortie, autorisation ou E/S du routeur) qui utilise le secret dans le même AWS compte. Vous ne pouvez pas partager des secrets entre comptes.
**Note**
Si vous MediaConnect distribuez des vidéos d'une AWS région à l'autre, vous devez créer deux secrets (un secret dans chaque région).
**Pour stocker une clé de chiffrement dans Secrets Manager**
1. Obtenez la clé de chiffrement auprès de l'entité qui gère la source.
1. Connectez-vous à la AWS Secrets Manager console à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Dans la page **Stocker un nouveau secret**, pour **Sélectionner un type de secret**, choisissez **Autre type de secrets**.
1. **Pour les **paires clé/valeur**, choisissez Plaintext.**
1. Effacez le texte de la zone et remplacez-le uniquement par la **valeur** de la clé de chiffrement. Pour les clés hexadécimales, vérifiez la longueur de la clé pour vous assurer qu'elle correspond à la longueur spécifiée pour le type de chiffrement. Par exemple, une clé de chiffrement AES-256 doit comporter 64 chiffres, car chaque chiffre a une taille de 4 bits.
1. Pour **Sélectionner la clé de chiffrement**, conservez la valeur par défaut définie sur **DefaultEncryptionKey**.
1. Choisissez **Suivant**.
1. Pour **Nom du secret**, spécifiez un nom pour votre secret qui vous aidera à l'identifier ultérieurement. Par exemple, **2018-12-01\$1baseball-game-source**.
1. Choisissez **Suivant**.
1. Dans la section **Configurer la rotation automatique**, choisissez **Désactiver la rotation automatique**.
1. Choisissez **Suivant**, puis **Stocker**.
La page de détails de votre nouveau secret apparaît et affiche des informations telles que le nom ARN du secret.
1. Notez l'ARN secret fourni par Secrets Manager. Vous aurez besoin de cette information dans la procédure suivante.
## Étape 2 : créer une politique IAM pour permettre à AWS MediaConnect Elemental d'accéder à votre secret
À [l'étape 1](#encryption-static-key-set-up-store-key), vous avez créé un secret et l'avez enregistré dans AWS Secrets Manager. Au cours de cette étape, vous créez une politique IAM qui permet à AWS MediaConnect Elemental de lire le secret que vous avez stocké.
**Pour créer une politique IAM permettant d'accéder MediaConnect à votre secret**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console IAM, choisissez **Stratégies**.
1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.
1. Entrez une politique qui utilise le format suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
]
}
]
}
```
------
Dans `Resource` cette section, chaque ligne représente l'ARN d'un secret différent que vous avez créé. Pour obtenir plus d’exemples, consultez [Exemples de politiques d'accès aux clés de MediaConnect chiffrement dans Secrets Manager](iam-policy-examples-asm-secrets.md).
1. Choisissez **Examiner une politique**.
1. Dans **Nom**, entrez un nom pour votre politique, tel que**SecretsManagerForMediaConnect**.
1. Choisissez **Create Policy** (Créer une politique).
## Étape 3 : créer un rôle IAM avec une relation de confiance
À [l'étape 2](#encryption-static-key-set-up-create-iam-policy), vous avez créé une politique IAM qui autorise l'accès en lecture au secret dans AWS Secrets Manager lequel vous l'avez stocké. Au cours de cette étape, vous créez un rôle IAM et attribuez la politique à ce rôle. Vous définissez ensuite AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle. Cela permet d' MediaConnect avoir un accès en lecture à votre secret.
**Pour créer un rôle avec une relation de confiance**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôle**, choisissez **Créer un rôle**.
1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).
1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**.
Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.
1. Choisissez **Suivant : Autorisations**.
1. Pour **Joindre des politiques d'autorisation**, entrez le nom de la politique que vous avez créée à [l'étape 2](#encryption-static-key-set-up-create-iam-policy), par exemple**SecretsManagerForMediaConnect**.
1. Pour **SecretsManagerReadWrite**, cochez la case, puis choisissez **Suivant : Révision**.
1. Pour **Nom du rôle (Role name)**, saisissez un nom. Nous vous recommandons vivement de ne pas utiliser le nom `MediaConnectAccessRole` car il est réservé. Utilisez plutôt un nom qui inclut `MediaConnect` et décrit l'objectif de ce rôle, tel que**MediaConnect-ASM**.
1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, **Allows MediaConnect to view secrets stored in AWS Secrets Manager.**
1. Choisissez **Créer un rôle**.
1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.
1. Sélectionnez l'onglet **Trust relationships** (Relations d'approbation), puis **Edit trust policy** (Modifier la relation d'approbation).
1. dans la fenêtre **Modifier la politique de confiance**, apportez les modifications suivantes au JSON :
+ Pour le **service**, remplacez `ec2.amazonaws.com` par `mediaconnect.amazonaws.com`
+ Pour plus de sécurité, définissez des conditions spécifiques pour la politique de confiance. Cela se limitera MediaConnect à l'utilisation des seules ressources de votre compte. Pour ce faire, utilisez une condition globale telle que l'**ID de compte**, l'**ARN du flux**, ou les deux. Consultez l'exemple suivant de politique de confiance conditionnelle. Pour plus d'informations sur les avantages en matière de sécurité liés à la situation mondiale, consultez la section [Prévention interservices de la confusion des adjoints](cross-service-confused-deputy-prevention.md).
**Note**
L'exemple suivant utilise à la fois les conditions **d'ID de compte** et **d'ARN du flux**. Votre politique sera différente si vous n'utilisez pas les deux conditions. Si vous ne connaissez pas l'ARN complet du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition de contexte `aws:SourceArn` global avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:mediaconnect:*:111122223333:*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
}
}
}
]
}
```
------
1. Choisissez **Mettre à jour la politique d'approbation**.
1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/MediaConnectASM`.
# Chiffrement SPEKE dans AWS Elemental MediaConnect
[Vous pouvez utiliser le Secure Packager and Encoder Key Exchange (SPEKE) avec AWS Elemental MediaConnect pour chiffrer un droit.](entitlements.md) Cela vous permet, en tant qu'auteur du contenu, de contrôler totalement les autorisations associées à ce contenu. Cette utilisation est une personnalisation de l'architecture basée sur le cloud SPEKE décrite dans la documentation [SPEKE](https://docs.aws.amazon.com/speke/latest/documentation/what-is.html#services-architecture).
**Topics**
+ [Gestion des clés pour SPEKE](encryption-speke-key-management.md)
+ [Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect](encryption-speke-set-up.md)
# Gestion des clés pour SPEKE
Avec une implémentation SPEKE, un système d'accès conditionnel (CA) fournit des clés à AWS MediaConnect Elemental pour le chiffrement et le déchiffrement du contenu. API Gateway agit comme un proxy pour la communication entre le service et le fournisseur de clés de la plate-forme CA. Chaque MediaConnect flux AWS Elemental doit résider dans la même AWS région que son proxy API Gateway.
L'illustration suivante montre comment AWS Elemental MediaConnect obtient la clé de chiffrement ou de déchiffrement à l'aide de SPEKE. Dans le flux de l'expéditeur, le service obtient la clé de chiffrement et l'utilise pour chiffrer le contenu avant de l'envoyer via l'autorisation. Dans le flux d'abonnés, le service obtient la clé de déchiffrement lorsque le contenu est reçu de la part de l'autorisation.
![\[La figure montre un AWS compte doté d'un MediaConnect flux AWS Elemental et d'une instance d'API Gateway dans la même AWS région. Une flèche indique qu'AWS Elemental MediaConnect envoie une demande pour la clé de chiffrement. La demande est envoyée au fournisseur de clés de la plateforme CA via API Gateway. Une deuxième flèche indique que le fournisseur de clés renvoie la clé de chiffrement via API Gateway.\]](http://docs.aws.amazon.com/fr_fr/mediaconnect/latest/ug/images/speke-encryption.png)
Voici les principaux services et composants :
+ **AWS Elemental MediaConnect** — Fournit et contrôle la configuration du chiffrement pour le flux. AWS Elemental MediaConnect obtient les clés de chiffrement auprès du fournisseur de clés de la plateforme CA via Amazon API Gateway. À l'aide des clés de chiffrement, AWS Elemental MediaConnect chiffre le contenu (pour le flux de l'expéditeur) ou le déchiffre (pour le flux de l'abonné).
+ **API Gateway** : gère les rôles fiables des clients et les communications par proxy entre le crypteur et le fournisseur de clés. API Gateway fournit des fonctionnalités de journalisation et permet aux clients de contrôler leurs relations avec le chiffreur et avec la plateforme CA. L'API Gateway doit résider dans la même AWS région que le crypteur.
+ **Fournisseur de clés de plate-forme CA** : fournit des clés de chiffrement et de déchiffrement à AWS MediaConnect Elemental via une API compatible Speke.
Pour de plus amples informations, veuillez consulter [Configuration du chiffrement SPEKE](encryption-speke-set-up.md).
# Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect
Avant de pouvoir octroyer un droit utilisant le chiffrement SPEKE, vous devez effectuer les étapes suivantes :
**[Étape 1. ](#encryption-speke-set-up-on-board-key-provider)** — Adhérez à un fournisseur de clés de plateforme d'accès conditionnel (CA) qui gérera votre clé de chiffrement. Au cours de ce processus, vous créez une API dans Amazon API Gateway qui envoie des demandes au nom d'AWS Elemental MediaConnect au fournisseur clé.
**[Étape 2](#encryption-speke-set-up-create-iam-policy)** — Créez une politique IAM qui permet à l'API que vous avez créée à l'étape 1 d'agir en tant que proxy pour envoyer des demandes au fournisseur de clés.
**[Étape 3.](#encryption-speke-set-up-create-iam-role)** — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental en MediaConnect tant qu'entité de confiance autorisée à assumer ce rôle et à accéder au point de terminaison API Gateway en votre nom.
## Étape 1 : Adhérez à un fournisseur CA
Pour utiliser SPEKE avec AWS MediaConnect Elemental, vous devez disposer d'un fournisseur de clés de plate-forme CA. Les AWS partenaires suivants fournissent des solutions d'accès conditionnel (CA) pour la MediaConnect personnalisation de SPEKE :
+ [Verimatrix](https://aws.amazon.com/partners/find/partnerdetails/?n=Verimatrix&id=001E000000be2SEIAY)
Si vous êtes à l'origine de contenu, contactez votre fournisseur de clés de plate-forme CA pour obtenir de l'aide concernant le processus d'intégration. Avec l'aide de votre fournisseur clé de plate-forme CA, vous gérez qui a accès à quel contenu.
Pendant le processus d'intégration, prenez note des points suivants :
+ **ARN de la demande de `POST` méthode** : nom de ressource Amazon (ARN) AWS attribué à la demande que vous créez dans API Gateway.
+ **Vecteur d'initialisation constant (facultatif)** : valeur hexadécimale de 128 bits et 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour chiffrer le contenu.
+ **ID de l'appareil** : identifiant unique pour chaque appareil que vous configurez avec le fournisseur de clés. Chaque appareil représente un destinataire différent pour votre contenu.
+ **ID de ressource** : identifiant unique que vous créez pour chaque élément de contenu que vous configurez avec le fournisseur de clés.
+ **URL** : URL attribuée par AWS l'API que vous créez dans Amazon API Gateway.
Vous aurez besoin de ces valeurs ultérieurement, lorsque vous configurerez le [droit](entitlements-grant.md) dans MediaConnect.
## Étape 2 : créer une politique IAM pour autoriser API Gateway à agir en tant que proxy
À [l'étape 1](#encryption-speke-set-up-on-board-key-provider), vous avez travaillé avec un fournisseur de clés de plate-forme CA qui gère votre clé de chiffrement. Au cours de cette étape, vous créez une politique IAM qui permet à API Gateway de faire des demandes en votre nom. API Gateway agit comme un proxy pour la communication entre votre compte et le fournisseur clé.
**Pour créer une politique IAM pour un proxy API Gateway**
1. Dans le volet de navigation de la console IAM, choisissez **Stratégies**.
1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.
1. Entrez une politique qui utilise le format suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"execute-api:Invoke"
],
"Resource": [
"arn:aws:execute-api:us-west-2:111122223333:1abcdefghi/*/POST/*"
]
}
]
}
```
------
Dans `Resource` cette section, remplacez l'exemple Amazon Resource Name (ARN) par l'ARN de la demande de `POST` méthode que vous avez créée dans API Gateway avec le fournisseur de clés de la plateforme CA.
1. Choisissez **Examiner une politique**.
1. Pour **Nom**, saisissez **APIGateway-Proxy-Access**.
1. Sélectionnez **Create policy** (Créer une politique).
## Étape 3 : créer un rôle IAM avec une relation de confiance
À [l'étape 2](#encryption-speke-set-up-create-iam-policy), vous avez créé une politique **APIGateway-Proxy-Access** qui permet à API Gateway d'agir en tant que proxy et de faire des demandes en votre nom. Au cours de cette étape, vous créez un rôle IAM et associez les autorisations suivantes :
+ La politique **APIGateway-Proxy-Access** permet à Amazon API Gateway d'agir en tant que proxy en votre nom afin de pouvoir effectuer des demandes entre votre compte et le fournisseur de clés de la plate-forme CA. Il s'agit de la politique que vous avez créée à l'étape 1.
+ Une politique de **relation de confiance** permet à AWS Elemental MediaConnect d'assumer le rôle en votre nom. Vous allez créer cette politique dans le cadre de la procédure suivante.
**Pour créer un rôle IAM avec une relation de confiance**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôle**, choisissez **Créer un rôle**.
1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).
1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**.
Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.
1. Choisissez **Suivant : Autorisations**.
1. Pour les **politiques de filtrage**, choisissez Gestion **par le client**.
1. Cochez la case à côté de **APIGateway-Proxy-Access**, puis choisissez **Next** : Tags.
1. Entrez les valeurs des balises (facultatif), puis choisissez **Next : Review**.
1. Pour **Nom du rôle**, entrez un nom tel que**SpekeAccess**.
1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, **Allows AWS Elemental MediaConnect to talk to API Gateway on my behalf.**
1. Choisissez **Créer un rôle**.
1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.
1. Choisissez **Relations de confiance**, puis sélectionnez **Modifier la relation de confiance**.
1. Pour **le document de stratégie**, modifiez la politique pour qu'elle ressemble à ceci :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Mettre à jour la politique d'approbation**.
1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/SpekeAccess`.
# Chiffrement des mots de passe SRT dans AWS Elemental MediaConnect
Vous pouvez utiliser l'option de chiffrement du mot de passe SRT (Secure Reliable Transport) pour chiffrer les sources, les sorties et le routeur I/O lorsque vous utilisez les protocoles SRT. Les protocoles SRT sont des protocoles à haute disponibilité et à faible latence adaptés aux applications longue distance. Vous stockez votre mot de passe de chiffrement dans AWS Secrets Manager, puis vous MediaConnect autorisez l'obtention du mot de passe de cryptage auprès de Secrets Manager.
**Topics**
+ [Gestion des mots de passe pour le chiffrement des mots de passe SRT](encryption-srt-password-password-management.md)
+ [Configuration du chiffrement des mots de passe SRT à l'aide d'AWS Elemental MediaConnect](encryption-srt-password-set-up.md)
# Gestion des mots de passe pour le chiffrement des mots de passe SRT
Dans AWS Elemental MediaConnect, vous pouvez utiliser le chiffrement des mots de passe SRT pour sécuriser le contenu des sources, des sorties et des E/S du routeur. Pour utiliser cette méthode, vous stockez un mot de passe SRT sous forme de *secret* et vous autorisez AWS Elemental à AWS Secrets Manager accéder à ce secret. MediaConnect Secrets Manager protège votre mot de passe, en permettant uniquement aux entités que vous spécifiez dans une politique Gestion des identités et des accès AWS (IAM) d'y accéder.
Avec le chiffrement par mot de passe SRT, tous les participants (le propriétaire de la source, du flux, des sorties et des E/S du routeur) ont besoin du mot de passe SRT.
Pour de plus amples informations, veuillez consulter [Configuration du chiffrement des mots de passe SRT](encryption-srt-password-set-up.md).
# Configuration du chiffrement des mots de passe SRT à l'aide d'AWS Elemental MediaConnect
Avant de créer un flux ou un routeur I/O utilisant le chiffrement par mot de passe SRT, vous devez effectuer les étapes suivantes :
**[Étape 1](encryption-static-key-set-up.md#encryption-static-key-set-up-store-key)** — Stockez votre mot de passe SRT en tant que secret dans AWS Secrets Manager.
**[Étape 2](encryption-static-key-set-up.md#encryption-static-key-set-up-create-iam-policy)** — Créez une politique IAM qui permet à AWS MediaConnect Elemental de lire le secret dans lequel vous l'avez stocké. AWS Secrets Manager
**[Étape 3](encryption-static-key-set-up.md#encryption-static-key-set-up-create-iam-role)** — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental MediaConnect en tant qu'entité de confiance autorisée à assumer ce rôle et à effectuer des demandes au nom de votre compte.
## Étape 1 : Enregistrez votre mot de passe de cryptage dans AWS Secrets Manager
Pour utiliser le chiffrement de mot de passe SRT afin de chiffrer votre contenu AWS MediaConnect Elemental, vous devez AWS Secrets Manager créer un secret qui stocke le mot de passe. Vous devez créer le secret et la ressource (source, sortie ou E/S du routeur) qui utilise le secret dans le même AWS compte. Vous ne pouvez pas partager des secrets entre comptes.
**Note**
Si vous distribuez une vidéo d'une AWS région à une autre, vous devez créer deux secrets (un secret dans chaque région).
Si vous créez un nouveau mot de passe SRT pour chiffrer la sortie d'un flux ou d'un routeur, nous vous recommandons de suivre la politique de mot de passe suivante :
+ Longueur minimale du mot de passe de 10 caractères et maximale de 80 caractères
+ Au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres et les symboles **\$1 @ \$1 \$1 % ^ & \$1 ( ) \$1 \$1 - = [ ] \$1 \$1 \$1 '**
+ Ne pas être identique au nom de votre AWS compte ou à votre adresse e-mail
**Pour enregistrer un mot de passe dans Secrets Manager**
1. Connectez-vous à la AWS Secrets Manager console à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Dans la page **Stocker un nouveau secret**, pour **Sélectionner un type de secret**, choisissez **Autre type de secrets**.
1. **Pour les **paires clé/valeur**, choisissez Plaintext.**
1. Effacez le texte de la zone et remplacez-le uniquement par la **valeur** du mot de passe SRT.
1. Pour la **clé de chiffrement**, conservez le réglage par défaut sur **aws/secretsmanager**.
1. Choisissez **Suivant**.
1. Pour **Nom du secret**, spécifiez un nom pour votre secret qui vous aidera à l'identifier ultérieurement. Par exemple, **2018-12-01\$1baseball-game-source**.
1. Choisissez **Suivant**.
1. Dans la section **Configurer la rotation automatique**, laissez la **rotation automatique** désactivée.
1. Choisissez **Suivant**, puis **Stocker**. Sur l'écran suivant, sélectionnez le nom du secret que vous avez créé.
La page de détails de votre nouveau secret apparaît et affiche des informations telles que le nom ARN du secret.
1. Notez l'ARN secret fourni par Secrets Manager. Vous aurez besoin de cette information dans la procédure suivante.
## Étape 2 : créer une politique IAM pour permettre à AWS MediaConnect Elemental d'accéder à votre secret
À [l'étape 1](encryption-static-key-set-up.md#encryption-static-key-set-up-store-key), vous avez créé un secret et l'avez enregistré dans AWS Secrets Manager. Au cours de cette étape, vous créez une politique IAM qui permet à AWS MediaConnect Elemental de lire le secret que vous avez stocké.
**Pour créer une politique IAM permettant d'accéder MediaConnect à votre secret**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console IAM, choisissez **Stratégies**.
1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.
1. Entrez une politique qui utilise le format suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
]
}
]
}
```
------
Dans `Resource` cette section, chaque ligne représente l'ARN d'un secret différent que vous avez créé. Entrez l'ARN secret de la procédure précédente. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez un nom pour votre politique, tel que**SecretsManagerForMediaConnect**.
1. Choisissez **Create Policy** (Créer une politique).
## Étape 3 : créer un rôle IAM avec une relation de confiance
À [l'étape 2](encryption-static-key-set-up.md#encryption-static-key-set-up-create-iam-policy), vous avez créé une politique IAM qui autorise l'accès en lecture au secret dans AWS Secrets Manager lequel vous l'avez stocké. Au cours de cette étape, vous créez un rôle IAM et attribuez la politique à ce rôle. Vous définissez ensuite AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle. Cela permet d' MediaConnect avoir un accès en lecture à votre secret.
**Pour créer un rôle avec une relation de confiance**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôle**, choisissez **Créer un rôle**.
1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).
1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**.
Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.
1. Choisissez **Suivant : Autorisations**.
1. Pour **Joindre des politiques d'autorisation**, entrez le nom de la politique que vous avez créée à [l'étape 2](encryption-static-key-set-up.md#encryption-static-key-set-up-create-iam-policy), par exemple**SecretsManagerForMediaConnect**.
1. Pour **SecretsManagerForMediaConnect**, cochez la case, puis choisissez **Next**.
1. Pour **Nom du rôle (Role name)**, saisissez un nom. Nous vous recommandons vivement de ne pas utiliser le nom `MediaConnectAccessRole` car il est réservé. Utilisez plutôt un nom qui inclut `MediaConnect` et décrit l'objectif de ce rôle, tel que**MediaConnect-ASM**.
1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, **Allows MediaConnect to view secrets stored in AWS Secrets Manager.**
1. Choisissez **Créer un rôle**.
1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.
1. Sélectionnez l'onglet **Trust relationships** (Relations d'approbation), puis **Edit trust policy** (Modifier la relation d'approbation).
1. Pour **Modifier la politique de confiance**, passez `ec2.amazonaws.com` à`mediaconnect.amazonaws.com`.
Le document de stratégie doit maintenant ressembler à l'exemple suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Mettre à jour une politique**.
1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/MediaConnectASM`.
# Confidentialité du trafic inter-réseau
Pour configurer une connexion privée entre votre Amazon VPC et votre réseau d'entreprise, vous pouvez choisir de configurer une connexion IPsec VPN sur Internet ou une connexion physique privée à l'aide Direct Connect d'une connexion. Direct Connect vous permet d'établir une interface virtuelle privée depuis votre réseau local directement vers votre Amazon VPC, vous fournissant ainsi une connexion réseau privée à haut débit entre votre réseau et votre VPC. Avec plusieurs interfaces virtuelles, vous pouvez établir une connectivité privée avec plusieurs interfaces VPCs tout en maintenant l'isolation du réseau. Pour plus d'informations, consultez [Qu'est-ce qu' AWS Site-to-Siteun VPN ?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) et [qu'est-ce que c'est Direct Connect ?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
**Pour acheminer le trafic directement entre MediaConnect et votre réseau d'entreprise via un cloud privé virtuel (VPC)**
1. Configurez une connexion privée entre votre Amazon VPC et votre réseau d'entreprise. Vous pouvez choisir entre une connexion IPsec VPN sur Internet ou une connexion physique privée par Direct Connect connexion.
1. [*Créez un flux qui utilise une source VPC.*](flows-create-vpc-source.md) Au cours de ce processus, vous ajoutez une *interface* VPC à votre flux pour établir la connexion initiale entre votre VPC et votre flux. Vous spécifiez également cette même interface VPC comme source pour le nouveau flux.
**Note**
Si votre flux existe déjà, vous pouvez le mettre à jour pour [ajouter une interface VPC](vpc-interface-add.md), puis [ajouter une autre source utilisant cette interface VPC](source-adding-vpc.md).