实施客户端加密 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

实施客户端加密

客户端加密是您可与结合使用的三个加密选项之一,您可与结合使用。利用客户端加密,可先加密您的输入文件,然后再将其上传到 Amazon S3。

您可以将客户端加密与另外两个加密选项结合使用。下图显示了这三个选项。

三个矩形表示三个加密选项的每个选项。第一个是客户端加密,将突出显示。文本内容如下所示。客户端加密:先使用开放协议加密您的内容,然后再上传输入文件。保护传输中的输入文件。保护静态中的输入文件。

将客户端加密与 AWS Elemental MediaConvert 结合使用

  1. 使用Amazon Key Management Service(Amazon KMS) 以创建 KMS 密钥。有关步骤,请参阅创建密钥中的Amazon Key Management Service开发人员指南. 有关概述,请参阅Amazon Key Management Service概念在同一个指南中。

  2. 创建数据密钥以用于加密您的内容。使用Amazon KMS Encrypt操作来加密您的客户托管密钥下的数据密钥。您必须使用此加密上下文:

    "{\"service\" : \"mediaconvert.amazonaws.com\" }"

    您可以采用以下方式之一创建并加密数据密钥:

    • 使用创建数据密钥Amazon Key Management Service(Amazon KMS) 通过致电 KMSGenerateDataKey. 对于KeyId参数中,指定您在此过程的第一步中创建的 KMS 密钥的 Amazon 资源名称 (ARN)。此操作会返回数据密钥的明文副本以及由 KMS 密钥加密的副本。

    • 使用加密库,例如OpenSSL,以创建高级加密标准(AES) 密钥。然后,通过调用 Amazon KMS 加密来加密该密钥。将您在此过程的第一步中创建的 KMS 密钥作为KeyId你打这个电话的时候。

      有关使用 OpenSSL 创建 AES 密钥的更多信息,请参阅 OpenSSL 文档

    有关更多信息,请参阅 。数据密钥中的Amazon Key Management Service概念主题Amazon Key Management Service开发人员指南.

  3. 使用在上一步中创建的明文数据密钥加密您的内容,如下所示:

    • 使用以下 AES 加密模式之一:CTR、CBC 或 GCM。

    • 结合使用 16 字节的初始化向量与任何加密模式。或者,结合使用 12 字节的初始化向量与 GCM 或 CTR。

    有关使用 OpenSSL 的更多信息,请参阅 OpenSSL 文档

    注意

    AWS Elemental Elemental MediaConvert 不支持使用 Amazon S3 加密客户端加密的文件。

  4. 指定 AWS Elemental MediaConvert 每个加密的输入的解密设置如下所示:

    1. 在存储库的创建作业页面中,作业在左侧的窗格中,选择输入.

    2. 在右侧的 Input (输入) 部分中,选择 Decryption settings (解密设置)

    3. 对于 Decryption mode (解密模式),选择您在此过程的先前步骤中用于加密内容的 AES 加密模式。

    4. 适用于加密的数据密钥中,输入加密数据密钥的版本Amazon KMS GeneratedDataKey要么Encrypt操作已返回。

      请确保您提供的是数据密钥的加密版本。以明文形式提供数据密钥会在您的系统和 MediaConvert 之间传输中公开密钥,从而使得您的内容易受攻击。此外,如果您提供的是明文数据密钥,您的作业将失败。

    5. 对于 Initialization vector (初始化向量),提供您在此过程的先前步骤中用于加密内容的 16 字节或 12 字节的初始化向量。

      注意

      您必须提供采用 base64 编码的初始化向量。您可以使用在线转换工具或在 Linux 命令行处使用以下命令来执行 base64 编码:echo -n "string-to-be-encoded-here" | base64. 这些区域有:-n标志不包括您传入的字符串结尾中的任何换行符。

    6. 如果Amazon你用来的地区Amazon KMS如果您生成的数据密钥与您目前用于运行 AWS Elemental MediaConvert 作业的区域不同,请针对Amazon解密密钥的区域.

  5. Grantkms:Decrypt对您的 AWS Elemental 的权限 MediaConvert Amazon Identity and Access Management(IAM) 角色。使用 IAM 内联策略。要了解更多信息,请参阅以下主题:

    • 有关为 AWS Elemental 设置 IAM 角色的更多信息 MediaConvert 要假设,请参阅第 5 步:设置 IAM 权限 在本指南的 “入门” 一章中。

    • 有关使用内联策略授予 IAM 权限的更多信息,请参阅过程为用户或角色嵌入内联策略添加 IAM 身份权限(控制台)中的IAM 用户指南.

    • 有关授予 IAM 策略的示例Amazon KMS权限(包括解密加密内容),请参阅客户托管策略示例中的Amazon Key Management Service开发人员指南.