Implementierung einer serverseitigen Verschlüsselung - MediaConvert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung einer serverseitigen Verschlüsselung

Die serverseitige Verschlüsselung mit Amazon S3 ist eine der Verschlüsselungsoptionen, die Sie mit AWS Elemental MediaConvert verwenden können.

Sie können Ihre Eingabe- und Ausgabedateien im Ruhezustand schützen, indem Sie serverseitige Verschlüsselung mit Amazon S3 verwenden:

  • Um Ihre Eingabedateien zu schützen, richten Sie die serverseitige Verschlüsselung ein, wie Sie es für jedes Objekt in einem Amazon S3 S3-Bucket tun würden. Weitere Informationen finden Sie unter Schutz von Daten durch serverseitige Verschlüsselung im Amazon Simple Storage Service User Guide.

  • Um Ihre Ausgabedateien zu schützen, geben Sie in Ihrem AWS Elemental MediaConvert Elemental-Job an, dass Amazon S3 Ihre Ausgabedateien beim MediaConvert Hochladen verschlüsselt. Standardmäßig werden Ihre Ausgabedateien nicht verschlüsselt. Der Rest dieses Themas enthält weitere Informationen zum Einrichten Ihres Auftrags für die Verschlüsselung Ihrer Ausgabedateien.

Wenn Sie eine AWS Elemental MediaConvert Elemental-Jobausgabe für serverseitige Verschlüsselung einrichten, verschlüsselt Amazon S3 sie mit einem Datenschlüssel. Als zusätzliche Sicherheitsmaßnahme wird der Datenschlüssel selbst mit einem Masterschlüssel verschlüsselt.

Sie wählen, ob Amazon S3 den Datenschlüssel mithilfe des standardmäßigen verwalteten Amazon S3 S3-Schlüssels oder eines KMS-Schlüssels, der von AWS Key Management Service (AWS KMS) verwaltet wird, verschlüsselt. Die Verwendung des standardmäßigen Amazon S3 S3-Masterschlüssels ist am einfachsten einzurichten. Wenn Sie mehr Kontrolle über Ihren Schlüssel bevorzugen, verwenden Sie einen AWS KMS Schlüssel. Weitere Informationen zu den verschiedenen Typen von KMS-Schlüsseln AWS KMS, mit denen verwaltet wird, finden Sie unter Was ist AWS Key Management Service? im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie sich für die Verwendung eines AWS KMS Schlüssels entscheiden, können Sie in Ihrem AWS Konto einen vom Kunden verwalteten Schlüssel angeben. Andernfalls wird der AWS verwaltete Schlüssel für Amazon S3 AWS KMS verwendet, der den Alias hataws/s3.

So richten Sie die Auftragsausgaben für die serverseitige Verschlüsselung ein

  1. Öffnen Sie die MediaConvert Konsole unter https://console.aws.amazon.com/mediaconvert.

  2. Wählen Sie Job erstellen aus.

  3. Richten Sie Ihre Eingangs- und Ausgabegruppen und Ausgaben für Video und Audio ein (wie unter Jobs konfigurieren in MediaConvert und Ausgaben erstellen beschrieben).

  4. Für jede Ausgabegruppe, die Ausgaben enthält, die Sie verschlüsseln möchten, richten Sie eine serverseitige Verschlüsselung ein:

    1. Wählen Sie im Bereich Auftrag auf der linken Seite die Ausgabegruppe aus.

    2. Wählen Sie im Bereich Gruppeneinstellungen auf der rechten Seite die Option Serverseitige Verschlüsselung aus. Wenn Sie die API oder ein SDK verwenden, finden Sie diese Einstellung in der JSON-Datei Ihres Jobs. Der Name der Einstellung lautetS3EncryptionSettings.

    3. Wählen Sie für die Verwaltung von Verschlüsselungsschlüsseln den AWS Dienst aus, der Ihren Datenschlüssel schützt. Wenn Sie die API oder ein SDK verwenden, finden Sie diese Einstellung in der JSON-Datei Ihres Jobs. Der Name der Einstellung lautetS3ServerSideEncryptionType.

      Wenn Sie sich für Amazon S3 entscheiden, verschlüsselt Amazon S3 Ihren Datenschlüssel mit einem vom Kunden verwalteten Schlüssel, den Amazon S3 sicher speichert. Wenn Sie möchten AWS KMS, verschlüsselt Amazon S3 Ihren Datenschlüssel mit einem KMS-Schlüssel, der AWS Key Management Service (AWS KMS) speichert und verwaltet.

    4. Wenn Sie sich AWS KMSim vorherigen Schritt entschieden haben, geben Sie optional den ARN eines Ihrer Was ist AWS Key Management Service? . Wenn Sie dies tun, verwenden AWS KMS Sie diesen KMS-Schlüssel, um den Datenschlüssel zu verschlüsseln, den Amazon S3 zum Verschlüsseln Ihrer Mediendateien verwendet.

      Wenn Sie keinen Schlüssel für angeben AWS KMS, verwendet Amazon S3 den AWS verwalteten Schlüssel in Ihrem AWS Konto, der ausschließlich für Amazon S3 verwendet wird.

    5. Wenn Sie sich AWS KMSfür die Verwaltung von Verschlüsselungsschlüsseln entschieden haben, gewähren kms:Encrypt Sie Ihrer AWS Elemental MediaConvert AWS Identity and Access Management (IAM) -Rolle kms:GenerateDataKey Berechtigungen. Auf diese Weise können MediaConvert Sie Ihre Ausgabedateien verschlüsseln. Wenn Sie diese Ausgaben auch als Eingaben für einen anderen MediaConvert Job verwenden möchten, gewähren Sie auch kms:Decrypt Berechtigungen. Weitere Informationen finden Sie unter folgenden Themen:

      • Weitere Informationen zur Einrichtung einer IAM-Rolle, die AWS Elemental übernehmen MediaConvert kann, finden Sie Einrichten von IAM-Berechtigungen im Kapitel Erste Schritte dieses Handbuchs.

      • Weitere Informationen zum Erteilen von IAM-Berechtigungen mithilfe einer Inline-Richtlinie finden Sie im IAM-Benutzerhandbuch unter Hinzufügen von IAM-Identitätsberechtigungen (Konsole) unter Hinzufügen von IAM-Identitätsberechtigungen (Konsole).

      • Beispiele für IAM-Richtlinien, die AWS KMS Berechtigungen gewähren, einschließlich der Entschlüsselung verschlüsselter Inhalte, finden Sie im Entwicklerhandbuch unter Beispiele für vom Kunden verwaltete Richtlinien.AWS Key Management Service

  5. Führen Sie Ihren AWS Elemental MediaConvert Elemental-Job wie gewohnt aus. Wenn Sie sich AWS KMSfür die Verwaltung von Verschlüsselungsschlüsseln entschieden haben, denken Sie daran, jedem Benutzer oder jeder Rolle, die auf Ihre Ausgaben zugreifen möchten, kms:Decrypt Berechtigungen zu erteilen.