授予执行 的权限 MediaConvert 访问加密的 S3 存储桶 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予执行 的权限 MediaConvert 访问加密的 S3 存储桶

当您 时启用 Amazon S3 默认加密,Amazon S3 会在您上传对象时自动对它们进行加密。您可以选择使用 Amazon Key Management Service (KMS) 来管理主密钥。这称为 SSE-KMS 加密。

如果您在存放 AWS Elemental 的存储桶上启用 SSE-KMS 默认加密 MediaConvert 输入或输出文件,你必须添加内联策略到你的 MediaConvert 服务角色。否则,MediaConvert 将无法读取您的输入文件或写入您的输出文件。授予这些权限:

  • 如果您的输入存储桶具有 SSE-KMS 默认加密,请授予 kms:Decrypt

  • 如果您的输出存储桶具有 SSE-KMS 默认加密,请授予 kms:GenerateDataKey

以下示例内联策略授予这两项权限。

带有 kms: Decrypt 和 kms: GenerateKey 的示例内联策略

此策略授予 kms:Decrypt 和 kms:GenerateDataKey 的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" } } } ] }