本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
实施客户端加密
客户端加密是您可与结合使用的三个加密选项之一,您可与结合使用。利用客户端加密,可先加密您的输入文件,然后再将其上传到 Amazon S3。
您可以将客户端加密与另外两个加密选项结合使用。下图显示了这三个选项。

将客户端加密与 AWS Elemental MediaConvert 结合使用
-
使用Amazon Key Management Service(Amazon KMS) 以创建 KMS 密钥。有关步骤,请参阅创建密钥中的Amazon Key Management Service开发人员指南. 有关概述,请参阅Amazon Key Management Service概念在同一个指南中。
-
创建数据密钥以用于加密您的内容。使用Amazon KMS Encrypt操作来加密您的客户托管密钥下的数据密钥。您必须使用此加密上下文:
"{\"service\" : \"mediaconvert.amazonaws.com\" }"
您可以采用以下方式之一创建并加密数据密钥:
-
使用创建数据密钥Amazon Key Management Service(Amazon KMS) 通过致电 KMSGenerateDataKey. 对于
KeyId
参数中,指定您在此过程的第一步中创建的 KMS 密钥的 Amazon 资源名称 (ARN)。此操作会返回数据密钥的明文副本以及由 KMS 密钥加密的副本。 -
使用加密库,例如OpenSSL
,以创建高级加密标准 (AES) 密钥。然后,通过调用 Amazon KMS 加密来加密该密钥。将您在此过程的第一步中创建的 KMS 密钥作为 KeyId
你打这个电话的时候。有关使用 OpenSSL 创建 AES 密钥的更多信息,请参阅 OpenSSL 文档
。
有关更多信息,请参阅 。数据密钥中的Amazon Key Management Service概念主题Amazon Key Management Service开发人员指南.
-
-
使用在上一步中创建的明文数据密钥加密您的内容,如下所示:
-
使用以下 AES 加密模式之一:CTR、CBC 或 GCM。
-
结合使用 16 字节的初始化向量与任何加密模式。或者,结合使用 12 字节的初始化向量与 GCM 或 CTR。
有关使用 OpenSSL 的更多信息,请参阅 OpenSSL 文档
。 注意 AWS Elemental Elemental MediaConvert 不支持使用 Amazon S3 加密客户端加密的文件。
-
-
指定 AWS Elemental MediaConvert 每个加密的输入的解密设置如下所示:
-
在存储库的创建作业页面中,作业在左侧的窗格中,选择输入.
-
在右侧的 Input (输入) 部分中,选择 Decryption settings (解密设置)。
-
对于 Decryption mode (解密模式),选择您在此过程的先前步骤中用于加密内容的 AES 加密模式。
-
适用于加密的数据密钥中,输入加密数据密钥的版本Amazon KMS
GeneratedDataKey
要么Encrypt
操作已返回。请确保您提供的是数据密钥的加密版本。以明文形式提供数据密钥会在您的系统和 MediaConvert 之间传输中公开密钥,从而使得您的内容易受攻击。此外,如果您提供的是明文数据密钥,您的作业将失败。
-
对于 Initialization vector (初始化向量),提供您在此过程的先前步骤中用于加密内容的 16 字节或 12 字节的初始化向量。
注意 您必须提供采用 base64 编码的初始化向量。您可以使用在线转换工具或在 Linux 命令行处使用以下命令来执行 base64 编码:
echo -n "string-to-be-encoded-here" | base64
. 这些区域有:-n
标志不包括您传入的字符串结尾中的任何换行符。 -
如果Amazon你用来的地区Amazon KMS如果您生成的数据密钥与您目前用于运行 AWS Elemental MediaConvert 作业的区域不同,请针对Amazon解密密钥的区域.
-
-
Grant
kms:Decrypt
对您的 AWS Elemental 的权限 MediaConvert Amazon Identity and Access Management(IAM) 角色。使用 IAM 内联策略。要了解更多信息,请参阅以下主题:-
有关为 AWS Elemental 设置 IAM 角色的更多信息 MediaConvert 要假设,请参阅第 5 步:设置 IAM 权限 在本指南的 “入门” 一章中。
-
有关使用内联策略授予 IAM 权限的更多信息,请参阅过程为用户或角色嵌入内联策略在添加 IAM 身份权限(控制台)中的IAM 用户指南.
-
有关授予 IAM 策略的示例Amazon KMS权限(包括解密加密内容),请参阅客户托管策略示例中的Amazon Key Management Service开发人员指南.
-