本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 授予访问加密的 MediaConvert Amazon S3 存储桶的权限
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

当您启用 [Amazon S3 默认加密](https://docs.amazonaws.cn/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)时，Amazon S3 会在您上传对象时自动加密这些对象。您可以选择使用 Amazon Key Management Service (Amazon KMS) 来管理密钥。这称为 SSE-KMS 加密。

如果您在存放 AWS Elemental MediaConvert 输入或输出文件的存储桶上启用 SSE-KMS 默认加密，则必须[向 IAM 服务角色添加内联策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。如果您不添加内联策略，则 MediaConvert 无法读取您的输入文件或写入输出文件。

在以下使用案例中授予这些权限：
+ 如果您的输入存储桶具有 SSE-KMS 默认加密，请授予 `kms:Decrypt`
+ 如果您的输出存储桶具有 SSE-KMS 默认加密，请授予 `kms:GenerateDataKey`

以下示例内联策略将授予这两个权限。

## 带有 kms:Decrypt 和 kms:GenerateDataKey 的内联策略示例
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

此策略向 `kms:Decrypt` 和 `kms:GenerateDataKey` 授予权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------