本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
存储加密或解密密码
AWS Elemental 中有一些加密方案 MediaLive ,要求您将加密密钥的密码存储在密钥中。 AWS Secrets Manager例如:
-
如果您在 AWS MediaLive Elemental 通道中创建 SRT 输出组,则必须加密输出以在传输到下游系统(您与之共享输出的系统)时对其进行保护。您必须将加密密码存储为机密。有关创建 SRT 输出组以及如何使用密码的更多信息,请参阅。创建 SRT 来电者输出组
-
您可以创建 SRT 输入来收录上游系统已加密的源。在这种情况下,您必须从上游系统(与您共享源代码的系统)获取加密密码。您必须将该密码存储为机密。有关创建 SRT 输入组以及如何使用密码的更多信息,请参阅。设置 SRT 输入
支持的加密算法
MediaLive 支持对称 AES 128、AES 192 或 AES 256 加密。
密码短语
密码是用于生成和保护加密密钥的文本字符串。对于上述类型的加密方案,您和另一方(内容的发送者或接收者)必须就各自用于加密和解密内容的密码达成一致。您必须将密码作为值存储在 Secrets Manager 的密钥中。您必须向 MediaLive 可信实体(例如 MediaLiveAccessRole)授予权限才能获取密钥中的值。
您必须使用密钥的 ARN 配置输入或输出组。
当 MediaLive 频道正在运行并 MediaLive 需要加密或解密内容时,它会向 Secrets Manager 请求密码,并在解密或加密算法中使用该密码。
第 1 步:就密码达成一致
当你使用 Secrets Manager 加密数据时,有两条数据:
-
加密密码。您和上游或下游系统的操作员必须就加密密码达成一致。
我们建议加密密码遵循以下规则:
-
最小密码长度为 10 个字符,最大长度为 80 个字符。
-
以下角色类型组合中至少有三种:
大写、小写、数字和
! @ # $ % ^ & * ( ) _ + - = [ ] { } | ' -
不要在密码中使用您的 AWS 账户名或电子邮件地址
-
-
保存密码的密钥的名称。这可以是任何名称,但它应该是描述性的,因为您的组织可能会存储很多机密。例如
2018-12-01_baseball-game-source。
第 2 步:将您的加密密码存储在 AWS Secrets Manager
您必须将加密密码存储在您的账户中。另一方会根据需要存储密码。以下是可能性:
-
如果您和另一方是同一个 AWS 帐户,则其中一方可以将密码存储在秘密中。然后,该人将秘密的 ARN 交给了另一个人。
-
如果另一方是拥有不同账户的 AWS 客户,他们通常还会将密码存储在 Secrets Manager 中自己的密钥中。您共享密码短语,但不共享密钥。
-
如果另一方不是 AWS 客户,则他们应根据其组织的政策存储密码。
要存储密码,请按照以下步骤操作。
-
登录 AWS Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。 -
在密钥页面,选择存储新密钥。将出现 “密钥” 向导的第一页。
-
填写显示在几页上的字段:
-
选择密钥类型:选择其他类型的密钥。
-
键/值对:选择纯文本。清除框中的所有文本。输入密码。
-
加密密钥:选择 Secrets Manager 用于加密密钥中密码的加密密钥。我们建议您使用默认加密密钥 (aws/secrets manager)。
-
密钥名称:输入密钥的名称。请记住,您的组织可能会存储很多机密,因此名称应具有描述性。例如
2018-12-01_baseball-game-source。 -
配置自动旋转:根据需要完成。您的组织可能有轮换密钥的政策。如果不是,请关闭轮换。有关更多信息,请选择 “信息” 链接。
-
-
选择 “下一步”,然后选择 “商店”。
-
在下一个屏幕上,选择您创建的密钥的名称。将显示有关该密钥的详细信息。
-
记下密钥的名称和 ARN。
步骤 3:更新可信实体
MediaLive 需要权限才能读取您创建的密钥的值。您可能需要更新可信实体以包含该权限。存在以下可能性:
-
如果您在包含加密内容的频道中使用MediaLiveAccessRole可信实体,则无需执行任何操作。该实体已具有所需的权限。
-
如果您在频道中使用自定义可信实体,则必须对其进行更新以包含所需的权限。请参阅中有关 Secrets Manager 的信息可信实体的访问要求。
