本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
儲存加密或解密密碼短語
AWS Elemental MediaLive 中有加密案例,要求您將加密金鑰的密碼短語存放在秘密中 AWS Secrets Manager。例如:
-
如果您在 AWS Elemental MediaLive 頻道中建立 SRT 輸出群組,則必須加密輸出,以在傳輸到下游系統 (您要共用輸出的系統) 時保護輸出。您必須將加密複雜密碼儲存為秘密。如需建立 SRT 輸出群組及如何使用複雜密碼的詳細資訊,請參閱 建立 SRT 呼叫者輸出群組。
-
您可以建立 SRT 輸入來擷取上游系統已加密的來源。在此情況下,您必須從上游系統 (與您共用來源的系統) 取得加密密碼。您必須將該複雜密碼儲存為秘密。如需建立 SRT 輸入群組以及如何使用複雜密碼的詳細資訊,請參閱 設定 SRT 輸入。
支援的加密演算法
MediaLive 支援對稱 AES 128、AES 192 或 AES 256 加密。
密碼短語
密碼短語是用來產生和保護加密金鑰的文字字串。使用上述加密案例類型時,您和對方 (內容的寄件者或接收者) 必須同意密碼短語,每個密碼短語都會用來加密和解密內容。您必須在 Secrets Manager 中將密碼短語儲存為秘密中的值。您必須授予 MediaLive 受信任實體 (例如 MediaLiveAccessRole) 許可,才能取得秘密中的值。
您必須使用秘密的 ARN 設定輸入或輸出群組。
當 MediaLive 頻道正在執行且 MediaLive 需要加密或解密內容時,它會向 Secrets Manager 請求密碼短語,並在解密或加密演算法中使用該密碼短語。
步驟 1:同意密碼短語
當您使用 Secrets Manager 加密資料時,有兩種資料:
-
加密密碼短語。您和上游或下游系統的運算子必須同意加密密碼。
我們建議加密密碼短語遵循下列規則:
-
密碼短語長度下限為 10 個字元,長度上限為 80 個字元。
-
下列字元類型組合中最少有三種:
大寫、小寫、數字和
! @ # $ % ^ & * ( ) _ + - = [ ] { } | ' -
請勿在密碼短語中使用 AWS 您的帳戶名稱或電子郵件地址
-
-
存放密碼短語的秘密名稱。這可以是任何名稱,但應該是描述性的,因為您的組織可能會儲存許多秘密。例如
2018-12-01_baseball-game-source。
步驟 2:將加密密碼儲存在 AWS Secrets Manager
您必須在帳戶中存放加密密碼短語。另一方會視需要存放密碼短語。以下是可能性:
-
如果您和對方是同一個 AWS 帳戶,其中一個可以將密碼短語存放在秘密中。然後,該人員將秘密的 ARN 提供給另一個人。
-
如果對方是擁有不同帳戶 AWS 的客戶,他們通常也會在 Secrets Manager 中將密碼短語存放在自己的秘密中。您共用密碼短語,但不共用秘密。
-
如果對方不是 AWS 客戶,他們應該根據其組織的政策存放密碼短語。
若要存放密碼短語,請遵循下列步驟。
-
在 https://https://console.aws.amazon.com/secretsmanager/
登入 AWS Secrets Manager 主控台。 -
在秘密頁面上,選擇儲存新的秘密。隨即顯示 Secrets 精靈的第一頁。
-
完成出現在數個頁面上的欄位:
-
選取秘密類型:選擇其他類型的秘密。
-
鍵/值對:選擇純文字。清除方塊中的任何文字。在密碼短語中輸入 。
-
加密金鑰:選擇 Secrets Manager 用來加密秘密中密碼短語的加密金鑰。我們建議您使用預設加密金鑰 (aws/secretsmanager)。
-
秘密名稱:輸入秘密的名稱。請記住,您的組織可能會儲存許多秘密,因此名稱應該是描述性的。例如
2018-12-01_baseball-game-source。 -
設定自動輪換:視需要完成。您的組織可能有輪換秘密的政策。如果沒有,請關閉輪換。如需詳細資訊,請選取資訊連結。
-
-
選擇下一步,然後選擇存放區。
-
在下一個畫面上,選取您建立的秘密名稱。隨即顯示秘密的詳細資訊。
-
請記下秘密的名稱和 ARN。
步驟 3:更新信任的實體
MediaLive 需要許可才能讀取您建立之秘密的值。您可能需要更新信任的實體,以包含該許可。這些可能性存在:
-
如果您使用 MediaLiveAccessRole 受信任實體搭配包含加密內容的頻道,則不需要採取任何動作。此實體已有必要的許可。
-
如果您將自訂信任實體與頻道搭配使用,則必須將其更新為包含必要的許可。請參閱 中有關 Secrets Manager 的資訊受信任實體的存取要求。
