Intégration à l’API

La suite Content API vous permet d’automatiser les flux de travail de gestion de contenu et de bénéficier d’une visibilité en temps réel sur le statut de votre contenu sur Prime Video. Cette suite comprend :

• Renseignements utiles — Soumettre, mettre à jour, récupérer et supprimer les droits de contenu (avails) de manière programmatique dans tous les secteurs d’activité et territoires
• API de statut de l’offre : vérifiez si vos titres sont en ligne sur la boutique Prime Video et comprenez ce qui empêche la mise en ligne des titres
• API d’état des actifs : surveillez l’état de livraison des actifs et recevez des informations instantanées sur l’état de préparation du contenu

Lorsque vous intégrez la Content API Suite, vous aurez accès aux API que vous demandez au cours du processus d’intégration. Tous/Toutes les API de cette suite utilisent l’authentification basée sur des certificats MTLS (Mutual Transport Layer Security) avec des clés d’API.

Incluez les informations suivantes :

• Le nom de votre organisation
• Alias commercial (s’il est connu)
• Confirmation des partenaires pour lesquels vous livrez (le cas échéant)
• Description du cas d’utilisation
• Accès à l’environnement requis (Sandbox, Production, ou les deux)

Vous aurez besoin d’un CSR distinct pour l’environnement Sandbox si vous prévoyez d’y effectuer des tests avant la production. Si vous souhaitez les deux, vous pouvez les inclure dans votre demande et vous assurer que les noms de fichiers des CSR incluent les mots Sandbox et/ou Production afin que nous sachions lequel est lequel.

1. La première commande générera votre fichier de clé privée avec l’extension « key ».
   
2. La deuxième commande générera votre demande de signature de certificat (CSR) avec l’extension de fichier « csr ». Vous devrez transmettre le chemin du fichier client.key que vous venez de créer. La convention de dénomination recommandée pour le fichier de sortie est <Partner Name>_ <Prod or Sandbox>_client.csr.

1. Testez d’abord dans l’environnement sandbox
2. Vérifiez que l’authentification fonctionne avec un simple appel d’API
3. Testez la soumission d’une nouvelle mise à jour
4. Tester la réception des données avec succès
5. Mettre en œuvre la gestion et la surveillance des erreurs
6. Validez vos schémas de charge utile par rapport à la documentation

Contactez votre fournisseur de services de distribution préféré et donnez-lui l’autorisation explicite de consulter vos offres. Une fois autorisés, ils peuvent s’occuper de l’intégration en votre nom pour accéder aux API.

Oui, vous pouvez vous inscrire directement en suivant les étapes d’intégration standard de la suite Content API sans faire appel à votre fournisseur de distribution préféré.

Le calendrier d’intégration varie en fonction de votre niveau de préparation technique et de la complexité de votre intégration. Généralement, le processus inclut la fourniture des informations d’identification, l’examen de la documentation technique, le développement de l’intégration et les tests. Nous vous recommandons de laisser suffisamment de temps à votre équipe de développement pour créer et tester l’intégration avant de la mettre en ligne.

Actuellement, l’accès à l’API n’est disponible que pour les partenaires Prime Video gérés. Cependant, nous travaillons activement à étendre l’accès aux API aux partenaires non gérés à l’avenir.

Si vous avez reçu vos identifiants d’API mais que vous avez besoin de conseils sur la mise en œuvre, contactez votre contact Prime Video ou contactez-nous pour discuter de vos besoins et de votre situation individuels. Nous pouvons vous fournir des conseils personnalisés sur :

• Comment vous authentifier à l’aide de vos informations d’identification
• Quels points de terminaison d’API sont les plus pertinents pour votre flux de travail
• Bonnes pratiques en matière d’intégration et de test
• Documentation technique et exemples de code

Si vous perdez votre clé privée, vous devrez générer une nouvelle paire CSR et clé privée et soumettre la nouvelle CSR à votre contact Prime Video. Nous ne pouvons pas récupérer les clés privées perdues, car elles ne sont jamais partagées avec Prime Video pour des raisons de sécurité.

La suite d’API Analytics vous permet d’intégrer plusieurs points de terminaison pour les données de performance Prime Video directement dans vos propres systèmes et d’obtenir des informations plus approfondies sur les performances du contenu. Cette suite comprend :

• Ensemble de données sur les performances : accédez aux données au niveau des événements pour une analyse granulaire et une intégration avec vos ensembles de données internes
• Rapports — Récupérez des fichiers CSV statiques contenant des données sur les performances du contenu et les revenus de manière récurrente
• État financier — Accédez à des comptes de résultats actualisés reflétant les données de votre tableau de bord financier dans Slate
• Journal des événements d’abonnement - Accédez aux données d’abonnement au niveau des événements pour le suivi du parcours client

Tous/Toutes les extrémités d’API de cette suite utilisent l’authentification OAuth 2.0 et fournissent un accès en lecture seule aux données de performance. Contrairement aux autres rapports Slate, les ensembles de données de l’API Analytics ne peuvent être ajoutés qu’en ajout (chaque fichier contient de nouvelles données) et sont conçus explicitement pour que les ingénieurs partenaires puissent utiliser des données granulaires et effectuer des analyses.

Pour obtenir le code d’autorisation, vous allez créer une URL spécifique à utiliser dans votre navigateur Web. Pour effectuer cette étape, vous aurez besoin des éléments suivants :

• Le profil de sécurité de l’application client_id
• Le redirect_url enregistré par l’application
• Type de réponse de l’autorisateur : il doit s’agir d’un code
• Champ d’autorisation : videocentral : :reports:read

La première fois que vous demandez un jeton, vous aurez besoin des éléments suivants :

• Profil de sécurité de l’application client_id
• Profil de sécurité de l’application client_secret
• Redirect_uri enregistré par l’application
• Code d’autorisation de l’application créé précédemment
• Le grant_type à utiliser

Vous recevrez :

• access_token : Ce jeton de courte durée (expire dans 1 heure) est utilisé pour authentifier vos demandes d’API auprès des API de performance
• refresh_token : ce jeton à longue durée de vie est utilisé pour générer de nouveaux jetons d’accès sans nécessiter une nouvelle autorisation de l’utilisateur. Stockez-le en toute sécurité car il fournit un accès continu à votre application

Votre jeton d’actualisation peut changer à chaque utilisation conformément aux spécifications OAuth 2.0. Assurez-vous donc que votre intégration met à jour la valeur du jeton d’actualisation stocké après chaque demande d’actualisation.

1. Vérifiez l’authentification : vérifiez que votre jeton d’accès authentifie correctement les demandes d’API en effectuant un simple appel de test au point de terminaison du compte
2. Extraction des données de test : vérifiez que vous pouvez récupérer les données de performance avec succès et que le format de réponse correspond à vos attentes
3. Implémentation de la gestion des erreurs : créez une gestion des erreurs robuste pour les scénarios courants, notamment les jetons expirés, la limitation du débit et les problèmes de réseau
4. Valider la logique d’actualisation des jetons : testez l’implémentation de votre jeton d’actualisation pour vous assurer que votre application peut obtenir automatiquement de nouveaux jetons d’accès sans intervention manuelle
5. Confirmez la gestion de l’expiration des jetons : vérifiez que votre intégration détecte correctement l’expiration des jetons d’accès (après 1 heure) et les actualise automatiquement avant d’effectuer les appels d’API suivants

Pour révoquer l’accès à l’API pour un compte utilisateur spécifique (utile lors de tests avec différents comptes ou lorsque les membres de l’équipe changent de rôle), consultez les instructions sur la page d’autorisation de l’utilisateur.

Si les informations d’identification de votre application ont été compromises (par exemple, si elles ont été accidentellement enregistrées dans un référentiel de code public) :

1. Accédez à la console de connexion avec Amazon
2. Trouvez votre profil de sécurité et cliquez sur Gérer, puis sélectionnez Profil de sécurité
3. Cliquez sur Supprimer le profil de sécurité et tapez « supprimer » dans le champ de confirmation pour continuer

Important : la suppression de votre profil de sécurité invalide immédiatement tous les jetons d’accès et d’actualisation existants pour tous les utilisateurs, et empêche toute utilisation future de ces informations d’identification. Vous devrez créer un nouveau profil de sécurité et répéter l’intégralité du processus d’intégration si vous souhaitez rétablir l’accès à l’API.

La suppression de votre profil de sécurité invalide immédiatement tous les jetons d’accès existants et actualise les jetons pour tous les utilisateurs. Cette action ne peut pas être annulée et vous devrez créer un nouveau profil de sécurité et répéter l’intégralité du processus d’intégration pour rétablir l’accès à l’API.

Stockez votre secret client et votre jeton d’actualisation dans le système de gestion sécurisé des secrets de votre organisation. Ne codez jamais ces valeurs en dur dans le code de votre application ou dans les fichiers de configuration. Ces informations d’identification donnent accès à votre intégration de l’API Performance et doivent être traitées selon les mêmes normes de sécurité que les mots de passe ou les clés d’API.

Non Ne communiquez jamais d’informations d’identification à des référentiels de code, ne les partagez jamais par e-mail ou ne les incluez jamais dans la documentation ou les tickets d’assistance. Si des informations d’identification sont accidentellement exposées dans un référentiel public, supprimez immédiatement votre profil de sécurité et créez-en de nouvelles après le processus d’intégration.

Les jetons d’accès expirent au bout d’une heure. Implémentez une logique d’actualisation automatique des jetons dans votre application pour garantir un accès ininterrompu aux API. Votre application doit détecter le moment où les jetons sont sur le point d’expirer ou ont expiré, puis utiliser votre jeton d’actualisation pour obtenir un nouveau jeton d’accès avant d’effectuer les appels d’API suivants.

Les jetons d’actualisation peuvent changer à chaque utilisation conformément aux spécifications OAuth 2.0. Mettez toujours à jour la valeur de votre jeton d’actualisation enregistré après chaque demande d’actualisation. Stockez les jetons d’actualisation dans un magasin de secrets mutable qui vous permet de mettre à jour la valeur par programmation lorsqu’elle change.

Mettez en œuvre la journalisation et la surveillance pour suivre les habitudes d’utilisation de vos API, notamment les volumes de demandes, les taux d’erreur et les tentatives d’authentification. Configurez des alertes en cas d’activité inhabituelle susceptible d’indiquer des informations d’identification compromises, telles que des demandes provenant d’adresses IP inattendues, des modèles de demandes inhabituels ou des échecs d’authentification répétés.