Serverseitige Verschlüsselung für einen Amazon S3 S3-Bucket aktivieren - Amazon Chime SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitige Verschlüsselung für einen Amazon S3 S3-Bucket aktivieren

Um die serverseitige Verschlüsselung für einen Amazon Simple Storage Service (Amazon S3) -Bucket zu aktivieren, können Sie diese Arten von Verschlüsselungsschlüsseln verwenden:

  • Ein verwalteter Amazon S3 S3-Schlüssel

  • Ein vom Kunden verwalteter Schlüssel im AWS Key Management Service (KMS)

    Anmerkung

    Der Key Management Service unterstützt zwei Arten von Schlüsseln: vom Kunden verwaltete Schlüssel und AWS verwaltete Schlüssel. Amazon Chime SDK-Meetings unterstützen nur vom Kunden verwaltete Schlüssel.

Verwenden eines verwalteten Amazon S3 S3-Schlüssels

Sie verwenden die Amazon S3 S3-Konsole, CLI oder REST-API, um die serverseitige Verschlüsselung für einen Amazon S3 S3-Bucket zu aktivieren. Wählen Sie in beiden Fällen Amazon S3 Key als Verschlüsselungsschlüsseltyp. Es sind keine weiteren Maßnahmen erforderlich. Wenn Sie den Bucket für die Medienerfassung verwenden, werden die Artefakte auf der Serverseite hochgeladen und verschlüsselt. Weitere Informationen finden Sie unter Spezifizierung der Amazon S3 S3-Verschlüsselung im Amazon S3 S3-Benutzerhandbuch.

Verwenden Sie einen Schlüssel, den Sie besitzen

Um die Verschlüsselung mit einem von Ihnen verwalteten Schlüssel zu aktivieren, müssen Sie die serverseitige Verschlüsselung des Amazon S3 S3-Buckets mit einem vom Kunden verwalteten Schlüssel aktivieren und dann der Schlüsselrichtlinie eine Erklärung hinzufügen, die es Amazon Chime ermöglicht, den Schlüssel zu verwenden und alle hochgeladenen Artefakte zu verschlüsseln.

  1. Erstellen Sie einen vom Kunden verwalteten Schlüssel in KMS. Informationen dazu finden Sie unter Serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) angeben im Amazon S3 S3-Benutzerhandbuch.

  2. Fügen Sie der Schlüsselrichtlinie eine Anweisung hinzu, die es der GenerateDataKey Aktion ermöglicht, einen Schlüssel zur Verwendung durch den Amazon Chime SDK-Serviceprinzipal zu generieren,mediapipelines.chime.amazonaws.com.

    Dieses Beispiel zeigt eine typische Aussage.

    ... { "Sid": "MediaPipelineSSEKMS", "Effect": "Allow", "Principal": { "Service": "mediapipelines.chime.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "Account_Id" }, "ArnLike": { "aws:SourceArn": "arn:aws:chime:*:Account_Id:*" } } } ...
  3. Wenn Sie eine Medienverkettungspipeline verwenden, fügen Sie der Schlüsselrichtlinie eine Anweisung hinzu, die es dem Amazon Chime SDK-Serviceprinzipal, ermöglichtmediapipelines.chime.amazonaws.com, die Aktion zu verwenden. kms:Decrypt

  4. Konfigurieren Sie den Amazon S3 S3-Bucket so, dass die serverseitige Verschlüsselung mit dem Schlüssel aktiviert wird.