

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration du chiffrement SPEKE à l'aide d'AWS Elemental MediaConnect
<a name="encryption-speke-set-up"></a>

Avant de pouvoir octroyer un droit utilisant le chiffrement SPEKE, vous devez effectuer les étapes suivantes :

**[Étape 1. ](#encryption-speke-set-up-on-board-key-provider)** — Adhérez à un fournisseur de clés de plateforme d'accès conditionnel (CA) qui gérera votre clé de chiffrement. Au cours de ce processus, vous créez une API dans Amazon API Gateway qui envoie des demandes au nom d'AWS Elemental MediaConnect au fournisseur clé. 

**[Étape 2](#encryption-speke-set-up-create-iam-policy)** — Créez une politique IAM qui permet à l'API que vous avez créée à l'étape 1 d'agir en tant que proxy pour envoyer des demandes au fournisseur de clés.

**[Étape 3.](#encryption-speke-set-up-create-iam-role)** — Créez un rôle IAM et associez la politique que vous avez créée à l'étape 2. Configurez ensuite AWS Elemental en MediaConnect tant qu'entité de confiance autorisée à assumer ce rôle et à accéder au point de terminaison API Gateway en votre nom.

## Étape 1 : Adhérez à un fournisseur CA
<a name="encryption-speke-set-up-on-board-key-provider"></a>

Pour utiliser SPEKE avec AWS MediaConnect Elemental, vous devez disposer d'un fournisseur de clés de plate-forme CA. Les AWS partenaires suivants fournissent des solutions d'accès conditionnel (CA) pour la MediaConnect personnalisation de SPEKE :
+ [Verimatrix](https://aws.amazon.com/partners/find/partnerdetails/?n=Verimatrix&id=001E000000be2SEIAY)

Si vous êtes à l'origine de contenu, contactez votre fournisseur de clés de plate-forme CA pour obtenir de l'aide concernant le processus d'intégration. Avec l'aide de votre fournisseur clé de plate-forme CA, vous gérez qui a accès à quel contenu. 

Pendant le processus d'intégration, prenez note des points suivants :
+ **ARN de la demande de `POST` méthode** : nom de ressource Amazon (ARN) AWS attribué à la demande que vous créez dans API Gateway.
+ **Vecteur d'initialisation constant (facultatif)** : valeur hexadécimale de 128 bits et 16 octets représentée par une chaîne de 32 caractères, à utiliser avec la clé pour chiffrer le contenu.
+ **ID de l'appareil** : identifiant unique pour chaque appareil que vous configurez avec le fournisseur de clés. Chaque appareil représente un destinataire différent pour votre contenu.
+ **ID de ressource** : identifiant unique que vous créez pour chaque élément de contenu que vous configurez avec le fournisseur de clés.
+ **URL** : URL attribuée par AWS l'API que vous créez dans Amazon API Gateway.

Vous aurez besoin de ces valeurs ultérieurement, lorsque vous configurerez le [droit](entitlements-grant.md) dans MediaConnect. 

## Étape 2 : créer une politique IAM pour autoriser API Gateway à agir en tant que proxy
<a name="encryption-speke-set-up-create-iam-policy"></a>

À [l'étape 1](#encryption-speke-set-up-on-board-key-provider), vous avez travaillé avec un fournisseur de clés de plate-forme CA qui gère votre clé de chiffrement. Au cours de cette étape, vous créez une politique IAM qui permet à API Gateway de faire des demandes en votre nom. API Gateway agit comme un proxy pour la communication entre votre compte et le fournisseur clé. 

**Pour créer une politique IAM pour un proxy API Gateway**

1. Dans le volet de navigation de la console IAM, choisissez **Stratégies**.

1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.

1. Entrez une politique qui utilise le format suivant :

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "execute-api:Invoke"
         ],
         "Resource": [
           "arn:aws:execute-api:{{us-west-2}}:{{111122223333}}:{{1abcdefghi}}/*/POST/*"
         ]
       }
     ]
   }
   ```

------

   Dans `Resource` cette section, remplacez l'exemple Amazon Resource Name (ARN) par l'ARN de la demande de `POST` méthode que vous avez créée dans API Gateway avec le fournisseur de clés de la plateforme CA.

1. Choisissez **Examiner une politique**.

1. Pour **Nom**, saisissez **APIGateway-Proxy-Access**.

1. Sélectionnez **Create policy** (Créer une politique).

## Étape 3 : créer un rôle IAM avec une relation de confiance
<a name="encryption-speke-set-up-create-iam-role"></a>

À [l'étape 2](#encryption-speke-set-up-create-iam-policy), vous avez créé une **APIGateway-Proxy-Access**politique qui permet à API Gateway d'agir en tant que proxy et de faire des demandes en votre nom. Au cours de cette étape, vous créez un rôle IAM et associez les autorisations suivantes : 
+ Cette **APIGateway-Proxy-Access**politique permet à Amazon API Gateway d'agir en tant que proxy en votre nom afin de pouvoir effectuer des demandes entre votre compte et le fournisseur de clés de la plate-forme CA. Il s'agit de la politique que vous avez créée à l'étape 1.
+ Une politique de **relation de confiance** permet à AWS Elemental MediaConnect d'assumer le rôle en votre nom. Vous allez créer cette politique dans le cadre de la procédure suivante.

**Pour créer un rôle IAM avec une relation de confiance**

1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.

1. Sur la page **Rôle**, choisissez **Créer un rôle**. 

1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).

1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**. 

   Vous choisissez EC2 car AWS MediaConnect Elemental ne figure pas actuellement dans cette liste. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.

1. Choisissez **Suivant : Autorisations**.

1. Pour les **politiques de filtrage**, choisissez Gestion **par le client**.

1. Cochez la case à côté de **APIGateway-Proxy-Access**, puis choisissez **Suivant : Tags**.

1. Entrez les valeurs des balises (facultatif), puis choisissez **Next : Review**.

1. Pour **Nom du rôle**, entrez un nom tel que**SpekeAccess**.

1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle. Par exemple, **Allows AWS Elemental MediaConnect to talk to API Gateway on my behalf.**

1. Choisissez **Créer un rôle**.

1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer.

1. Choisissez **Relations de confiance**, puis sélectionnez **Modifier la relation de confiance**.

1. Pour **le document de stratégie**, modifiez la politique pour qu'elle ressemble à ceci : 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "mediaconnect.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Choisissez **Mettre à jour la politique d'approbation**.

1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/SpekeAccess`.