实施服务器端加密 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

实施服务器端加密

使用 Amazon S3 进行服务器端加密是您可以在 AWS Elemental MediaConvert 上使用的加密选项之一。

您可以通过结合使用服务器端加密与 Amazon S3 来保护静态中的输入和输出文件:

  • 要保护您的输入文件,请像为 Amazon S3 存储桶中的任何对象设置加密一样设置服务器端加密。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据

  • 要保护您的输出文件,请在您的 AWS Elemental MediaConvert 任务中指定 Amazon S3 在上传输出文件时对其进行加密。 MediaConvert 默认情况下,您的输出文件未加密。本主题的其余部分提供了有关设置作业以加密输出文件的更多信息。

当您将 AWS Elemental MediaConvert 任务输出设置为服务器端加密时,Amazon S3 会使用数据密钥对其进行加密。作为额外的安全措施,数据密钥本身使用主密钥进行加密。

您可以选择 Amazon S3 是使用默认的 S3 托管式密钥还是使用由 Amazon Key Management Service (Amazon KMS) 管理的 KMS 密钥来加密数据密钥。使用默认的 S3 主密钥是最简单的设置方法。如果您希望更好地控制密钥,请使用一个 Amazon KMS 密钥。有关使用 Amazon KMS 管理的不同类型 KMS 密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的什么是 Amazon Key Management Service?

如果您选择使用 Amazon KMS 密钥,则可以在您的 Amazon 账户中指定一个客户托管密钥。否则,Amazon KMS 将使用适用于 Amazon S3 的 Amazon 托管密钥,该密钥别名为 aws/s3

设置您的作业输出进行服务器端加密
  1. 打开 MediaConvert 控制台,网址为 https://console.aws.amazon.com/mediaconvert

  2. 请选择 Create job(创建任务)

  3. 为视频和音频设置输入、输出组和输出,如在 MediaConvert 中配置作业创建输出中所述。

  4. 对于具有您希望加密的输出的每个输出组,设置服务器端加密:

    1. 在左侧的 Job (作业) 窗格中,选择输出组。

    2. 在右侧的组设置部分中,选择 服务器端加密。如果您使用 API 或 SDK,则可以在任务的 JSON 文件中找到此设置。设置名称为 S3EncryptionSettings

    3. 对于 加密密钥管理,选择保护您的数据密钥的 Amazon 服务。如果您使用 API 或 SDK,则可以在任务的 JSON 文件中找到此设置。设置名称为 S3ServerSideEncryptionType

      如果选择 Amazon S3,Amazon S3 会使用 Amazon S3 安全存储的客户托管密钥加密您的数据密钥。如果选择 Amazon KMS,Amazon S3 会使用 Amazon Key Management Service (Amazon KMS) 存储和管理的 KMS 密钥加密您的数据密钥。

    4. 如果您在前面的步骤中选择 Amazon KMS,则可以选择指定其中一个“什么是 Amazon Key Management Service?” 的 ARN。如果您执行此操作,Amazon KMS 将使用该 KMS 密钥来加密 Amazon S3 用于加密您的媒体文件的数据密钥。

      如果您没有为 Amazon KMS 指定密钥,Amazon S3 将使用您 Amazon 账户中专用于 Amazon S3 的 Amazon 托管密钥

    5. 如果您选择了Amazon KMS加密密钥管理,请向您的 AWS Elemental MediaConvert Amazon Identity and Access Management (IAM) 角色授予kms:Encryptkms:GenerateDataKey权限。这允许 MediaConvert 对输出文件进行加密。如果您还希望能够将这些输出用作其他 MediaConvert 作业的输入,还需要授予kms:Decrypt权限。要了解更多信息,请参阅以下主题:

      • 有关设置让 AWS Elemental MediaConvert 代入的 IAM 角色的更多信息,请参阅设置 IAM 权限 本指南的入门章节。

      • 有关使用内联策略授予 IAM 权限的更多信息,请参阅 IAM 用户指南中的添加 IAM 身份权限(控制台)中的为用户或角色嵌入内联策略过程。

      • 有关授予 Amazon KMS 权限(包括解密加密内容)的 IAM policy 示例,请参阅 Amazon Key Management Service 开发人员指南中的客户管理型策略示例

  5. 像往常一样运行你的 AWS Elemental MediaConvert 作业。如果您选择了 Amazon KMS 加密密钥管理,请记得向任何您希望能够访问您的输出的用户或角色授予 kms:Decrypt 权限。