为 MediaConvert 授予访问加密 S3 存储桶的权限 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 MediaConvert 授予访问加密 S3 存储桶的权限

当您 时启用 Amazon S3 默认加密,Amazon S3 会在您上传对象时自动加密这些对象。您可以选择使用 Amazon Key Management Service (KMS) 来管理主密钥。这称为 SSE-KMS 加密。

如果您在存储 Amazon 元素传媒输入或输出文件的存储桶上启用 SSE-KMS 默认加密,则必须添加内联策略添加到您 MediaConvert 服务角色。否则,MediaConvert 将无法读取您的输入文件或写入您的输出文件。授予这些权限:

  • 如果您的输入存储桶具有 SSE-KMS 默认加密,请授予 kms:Decrypt

  • 如果您的输出存储桶具有 SSE-KMS 默认加密,请授予 kms:GenerateDataKey

以下示例内联策略授予这两项权限。

带有 kms: 解密和 KMS: 生成数据密钥的内联策略示例内联策略

此策略授予 kms:Decrypt 和 kms:GenerateDataKey 的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "s3.*amazonaws.com" } } } ] }