实施客户端加密 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

实施客户端加密

客户端加密是您可与结合使用的三个加密选项 AWS Elemental MediaConvert。利用客户端加密,可先加密您的输入文件,然后再将其上传到 Amazon S3。

您可以将客户端加密与另外两个加密选项结合使用。下图显示了这三个选项。

三个矩形表示三个加密选项的每个选项。第一个是客户端加密,将突出显示。文本内容如下所示。客户端加密:先使用开放协议加密您的内容,然后再上传输入文件。保护传输中的输入文件。保护静态中的输入文件。

将客户端加密与 AWS Elemental MediaConvert 结合使用

  1. 使用 Amazon Key Management Service (Amazon KMS) 创建客户托管的客户主密钥 (CMK)。有关步骤,请参阅创建密钥中的Amazon Key Management Service开发人员指南。有关概述,请参阅客户主密钥在同一指南中。

  2. 创建数据密钥以用于加密您的内容。使用 Amazon KMS 加密操作来通过您的客户托管 CMK 加密数据密钥。您必须使用此加密上下文: 

    "{\"service\" : \"mediaconvert.amazonaws.com\" }"

    您可以采用以下方式之一创建并加密数据密钥:

    • 使用创建数据密钥Amazon Key Management Service(Amazon KMS),通过调用 KMSGenerateDataKey。对于 KeyId 参数,指定您在此过程的第一步中创建的 CMK 的 Amazon 资源名称 (ARN)。此操作会返回数据密钥的明文副本以及由 CMK 加密的副本。

    • 使用加密库,例如OpenSSL,创建高级加密标准(AES) 密钥。然后,通过调用 Amazon KMS 加密来加密该密钥。在您进行此调用时将在此过程的第一步中创建的 CMK 添加为 KeyId

      有关使用 OpenSSL 创建 AES 密钥的更多信息,请参阅 OpenSSL 文档

    有关更多信息,请参阅 。数据密钥中的Amazon Key Management Service概念的主题Amazon Key Management Service开发人员指南

  3. 使用在上一步中创建的明文数据密钥加密您的内容,如下所示:

    • 使用以下 AES 加密模式之一:CTR、CBC 或 GCM。

    • 结合使用 16 字节的初始化向量与任何加密模式。或者,结合使用 12 字节的初始化向量与 GCM 或 CTR。

    有关使用 OpenSSL 的更多信息,请参阅 OpenSSL 文档

    注意

    AWS Elemental MediaConvert 不支持使用 Amazon S3 加密客户端加密的文件。

  4. 为每个加密的输入指定 AWS Elemental MediaConvert 解密设置,如下所示:

    1. 在存储库的创建作业页面上的作业窗格中,选择输入

    2. 在右侧的 Input (输入) 部分中,选择 Decryption settings (解密设置)

    3. 对于 Decryption mode (解密模式),选择您在此过程的先前步骤中用于加密内容的 AES 加密模式。

    4. 适用于加密的数据密钥中,输入encrypted版本的数据密钥Amazon KMS GeneratedDataKey或者Encrypt操作返回。

      请确保您提供的是数据密钥的加密版本。提供明文形式的数据密钥会在您的系统和 MediaConvert 之间传输中公开密钥,从而使得您的内容易受攻击。此外,如果您提供的是明文数据密钥,您的作业将失败。

    5. 对于 Initialization vector (初始化向量),提供您在此过程的先前步骤中用于加密内容的 16 字节或 12 字节的初始化向量。

      注意

      您必须提供采用 base64 编码的初始化向量。您可以使用在线转换工具或在 Linux 命令行处通过以下命令来执行 base64 编码::echo -n "string-to-be-encoded-here" | base64。 这些区域有:-n标志不包括您传入的字符串结尾中的任何换行符。

    6. 如果Amazon您所使用的区域Amazon KMS当您生成数据密钥时,您目前用于运行 AWS Elemental MediaConvert 作业的区域不同,请针对Amazon解密密钥的区域

  5. Grantkms:DecryptAWS Elemental MediaConvert 权限Amazon Identity and Access Management(IAM) 角色。使用 IAM 内联策略。要了解更多信息,请参阅以下主题:

    • 有关为要代入的 AWS Elemental MediaConvert Overt 设置 IAM 角色的更多信息,请参阅第 5 步:设置 IAM 权限 本指南入门章节中的。

    • 有关使用内联策略授予 IAM 权限的更多信息,请参阅为用户或角色嵌入内联策略添加 IAM 身份权限(控制台)中的IAM 用户指南

    • 有关授予的 IAM 策略示例Amazon KMS权限(包括解密加密内容),请参阅客户托管策略示例中的Amazon Key Management Service开发人员指南