实施服务器端加密 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

实施服务器端加密

AWS Elemental MediaConvert Amazon S3 的服务器端加密是您可与结合使用的三个加密选项之一。您可以将其与另外两个加密选项结合使用。下图显示了这三个选项。

三个矩形表示三个加密选项的每个选项。第二个是服务器端加密,将突出显示。文本内容如下所示。服务器端加密:使用 Amazon S3 默认存储桶加密来在您的文件进入 S3 存储桶时进行加密。您可以在上传您的输入文件时使用此选项, MediaConvert 写输出文件。保护静态中的文件。

您可以通过结合使用 Amazon S3 的服务器端加密来保护静态中的输入和输出文件:

  • 要保护您的输入文件,请为 Amazon S3 存储桶中的任何对象设置服务器端加密。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用服务器端加密保护数据

  • 要保护您的输出文件,请在 AWS Elemental 中指定 MediaConvert Amazon S3 将您的输出文件加密为 MediaConvert 上传它们。默认情况下,您的输出文件未加密。本主题的其余部分提供了有关设置作业以加密输出文件的更多信息。

当您设置 AWS Elemental 时 MediaConvert 服务器端加密的作业输出时,Amazon S3 会使用数据密钥对其进行加密。作为额外的安全措施,数据密钥本身使用主密钥进行加密。

您可以选择 Amazon S3 是使用默认的 S3 托管密钥还是使用由管理的 KMS 密钥来加密数据密钥。Amazon Key Management Service(Amazon KMS)。使用默认的 S3 主密钥是最简单的设置方法。如果您希望更好地控制密钥,请使用Amazon KMS键。有关使用托管的不同类型的 KMS 密钥的更多信息Amazon KMS,请参阅是什么Amazon Key Management Service?中的Amazon Key Management Service开发人员指南.

如果你选择使用Amazon KMS密钥,您可以在您的中指定客户托管式密钥Amazonaccount. 否则为Amazon KMS使用Amazon具有别名的 Amazon S3 托管密钥aws/s3.

设置您的作业输出进行服务器端加密

  1. 打开 MediaConvert 控制台https://console.aws.amazon.com/mediaconvert.

  2. 请选择 Create job (创建任务)

  3. 为视频和音频设置输入、输出组和输出,如在 AWS Elemental MediaConvert 中设置工作使用 AWS Elemental 创建输出MediaConvert中所述。

  4. 对于具有您希望加密的输出的每个输出组,设置服务器端加密:

    1. 在左侧的 Job (作业) 窗格中,选择输出组。

    2. 在右侧的组设置部分中,选择服务器端加密. 如果您使用 API 或 SDK,则可以在作业的 JSON 文件中找到此设置。设置名称是S3EncryptionSettings.

    3. 适用于加密密钥管理,选择Amazon保护您的数据密钥的服务。如果您使用 API 或 SDK,则可以在作业的 JSON 文件中找到此设置。设置名称是S3ServerSideEncryptionType.

      如果选择Amazon S3,Amazon S3 使用 Amazon S3 安全存储的客户托管密钥加密您的数据密钥。如果选择Amazon KMS,Amazon S3 使用 KMS 密钥加密您的数据密钥,Amazon Key Management Service(Amazon KMS) 存储和管理。

    4. 如果你选择了Amazon KMS在前面的步骤中,可以选择指定您的其中一个的 ARN是什么Amazon Key Management Service?. 如果这样做,Amazon KMS将使用该 KMS 密钥加密 Amazon S3 用于加密您的媒体文件的数据密钥。

      如果您没有为指定密钥Amazon KMS,Amazon S3 使用Amazon管理的密钥在您的Amazon专用于 Amazon S3 的账户。

    5. 如果你选择了Amazon KMS为了加密密钥管理,授予kms:Encryptkms:GenerateDataKey对您的 AWS Elemental 的权限 MediaConvert Amazon Identity and Access Management(IAM) 角色。这允许 MediaConvert 加密您的输出文件。如果您还希望能够使用这些输出作为其他输出的输入 MediaConvert 工作,还可以补助kms:Decrypt权限。要了解更多信息,请参阅以下主题:

      • 有关为 AWS Elemental 设置 IAM 角色的更多信息 MediaConvert 要假设,请参阅第 5 步:设置 IAM 权限 在本指南的 “入门” 一章中。

      • 有关使用内联策略授予 IAM 权限的更多信息,请参阅过程为用户或角色嵌入内联策略添加 IAM 身份权限 (控制台)中的IAM 用户指南.

      • 有关授予 IAM 策略的示例Amazon KMS权限(包括解密加密内容),请参阅客户托管策略示例中的Amazon Key Management Service开发人员指南.

  5. 运行 AWS Elemental MediaConvert 像往常一样工作。如果你选择了Amazon KMS为了加密密钥管理,记得授予kms:Decrypt授予您希望能够访问输出的任何用户或角色的权限。