授予访问加密的 MediaConvert Amazon S3Buckets 的权限 - MediaConvert
带有 kms:Decrypt 和 kms:GenerateDataKey 的内联策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予访问加密的 MediaConvert Amazon S3Buckets 的权限

当您启用 Amazon S3 默认加密时,Amazon S3 会在您上传对象时自动加密这些对象。您可以选择使用 Amazon Key Management Service (Amazon KMS) 来管理密钥。这称为 SSE-KMS 加密。

如果您在存放 AWS Elemental MediaConvert 输入或输出文件的存储桶上启用 SSE-KMS 默认加密,则必须将内联策略添加到您的 IAM 服务角色。如果您不添加内联策略,则 MediaConvert 无法读取您的输入文件或写入输出文件。

在以下使用案例中授予这些权限:

  • 如果您的输入存储桶具有 SSE-KMS 默认加密,请授予 kms:Decrypt

  • 如果您的输出存储桶具有 SSE-KMS 默认加密,请授予 kms:GenerateDataKey

以下示例内联策略将授予这两个权限。

带有 kms:Decrypt 和 kms:GenerateDataKey 的内联策略示例

此策略向 kms:Decryptkms:GenerateDataKey 授予权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}