实施服务器端加密 - MediaConvert
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

实施服务器端加密

使用 Amazon S3 的服务器端加密是您可与 AWS Elemental MediaConvert 结合使用的三个加密选项之一。您可以将其与另外两个加密选项结合使用。下图显示了这三个选项。

三个矩形表示三个加密选项的每个选项。第二个是服务器端加密,将突出显示。文本内容如下所示。服务器端加密:使用 Amazon S3 默认存储桶加密来在您的文件进入 S3 存储桶时进行加密。您可以在上传您的输入文件以及在 MediaConvert 写入您的输出文件时使用此选项。保护静态中的文件。

您可以通过结合使用服务器端加密与 Amazon S3 来保护静态中的输入和输出文件:

  • 要保护您的输入文件,请为 Amazon S3 存储桶中的任何对象设置服务器端加密。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的使用服务器端加密保护数据

  • 要保护您的输出文件,请在您的 AWS Elemental MediaConvert 作业中指定在 MediaConvert 上传输出文件时 Amazon S3 将加密它们。默认情况下,您的输出文件未加密。本主题的其余部分提供了有关设置作业以加密输出文件的更多信息。

当您设置一个 AWS Elemental MediaConvert 作业输出进行服务器端加密时,Amazon S3 会使用数据密钥对其进行加密。作为额外的安全措施,数据密钥本身使用主密钥进行加密。

您可以选择 Amazon S3 是使用默认的 S3 主密钥还是使用由 AWS Key Management Service (AWS KMS) 管理的客户主密钥来加密数据密钥。使用默认的 S3 主密钥是最简单的设置方法。如果您希望更好地控制主密钥,请使用一个 AWS KMS 客户主密钥。有关使用 AWS KMS 管理的不同类型的 CMK 的更多信息,请参阅 AWS Key Management Service Developer Guide 中的客户主密钥 (CMK)

如果您选择使用 AWS KMS CMK,则可以在您的 AWS 账户中指定一个客户托管 CMK。否则,AWS KMS 将使用适用于 S3 的 AWS 托管 CMK,该密钥具有别名 aws/s3

设置您的作业输出进行服务器端加密

  1. https://console.aws.amazon.com/mediaconvert 打开 MediaConvert 控制台。

  2. 选择 Create job

  3. 为视频和音频设置输入、输出组和输出,如在 AWS Elemental MediaConvert 中设置作业在 AWS Elemental MediaConvert 中构建复杂的作业中所述。

  4. 对于具有您希望加密的输出的每个输出组,设置服务器端加密:

    1. 在左侧的 Job (作业) 窗格中,选择输出组。

    2. 在右侧的组设置部分中,选择 Server-side encryption (服务器端加密)。如果您使用 API 或开发工具包,则可以在作业的 JSON 文件中找到此设置。设置名称为 S3EncryptionSettings

    3. 对于 Encryption key management (加密密钥管理),选择保护您的数据密钥的 AWS 服务。如果您使用 API 或开发工具包,则可以在作业的 JSON 文件中找到此设置。设置名称为 S3ServerSideEncryptionType

      如果选择 Amazon S3,Amazon S3 将使用 Amazon S3 安全存储的主密钥加密您的数据密钥。如果选择 AWS KMS,Amazon S3 将使用 AWS Key Management Service (AWS KMS) 存储和管理的 CMK 加密您的数据密钥。

    4. 如果您在前面的步骤中选择了 AWS KMS,则可以选择指定您的其中一个客户托管 CMK 的 ARN。如果您执行此操作,AWS KMS 将使用该 CMK 来加密 Amazon S3 用于加密您的媒体文件的数据密钥。

      如果您未对 AWS KMS 指定 CMK,则 Amazon S3 将在您的 AWS 账户中使用专供 Amazon S3 使用的 AWS 托管 CMK

    5. 如果您对 Encryption key management (加密密钥管理) 选择了 AWS KMS,则向您的 AWS Elemental MediaConvert AWS Identity and Access Management (IAM) 角色授予 kms:Encryptkms:GenerateDataKey 权限。这将允许 MediaConvert 加密您的输出文件。如果您还希望能够使用这些输出作为其他 MediaConvert 作业的输入,另请授予 kms:Decrypt 权限。要了解更多信息,请参阅以下主题:

      • 有关设置 AWS Elemental MediaConvert 要代入的 IAM 角色的更多信息,请参阅本指南的“入门”章节中的步骤 3:设置 IAM 权限

      • 有关使用内联策略授予 IAM 权限的更多信息,请参阅 IAM 用户指南添加 IAM 身份权限(控制台)中的为用户或角色嵌入内联策略过程。

      • 有关授予 AWS KMS 权限的 IAM 策略的示例(包括解密加密的内容),请参阅 AWS Key Management Service Developer Guide 中的客户托管策略示例

  5. 像往常一样运行您的 AWS Elemental MediaConvert 作业。如果您对 Encryption key management (加密密钥管理) 选择了 AWS KMS,请记得向您希望能够访问您的输出的任何用户或角色授予 kms:Decrypt 权限。