Activación del cifrado en el servidor para un bucket de Amazon S3 - Amazon Chime SDK
Uso de una clave administrada de Amazon S3Uso de una clave de su propiedad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación del cifrado en el servidor para un bucket de Amazon S3

Para habilitar el cifrado en el servidor para un bucket de Amazon Simple Storage Service (Amazon S3), puede utilizar estos tipos de claves de cifrado:

  • Una clave administrada de Amazon S3

  • Una clave administrada por el cliente en el Servicio de administración de AWS claves (KMS)

    nota

    El servicio de administración de claves admite dos tipos de claves, las claves administradas por el cliente y las claves de AWS administradas. Las reuniones de Amazon Chime SDK solo admiten claves administradas por el cliente.

Uso de una clave administrada de Amazon S3

Utilice la consola de Amazon S3, la CLI o la API de REST para habilitar el cifrado en el servidor para un bucket de Amazon S3. En ambos casos, elija Amazon S3 Key como tipo de clave de cifrado. No hay que hacer nada más. Cuando se utiliza el bucket para capturar contenido multimedia, los artefactos se cargan y cifran en el servidor. Para obtener más información, consulte Especificación del cifrado de Amazon S3 en la Guía del usuario de Amazon S3.

Uso de una clave de su propiedad

Para habilitar el cifrado con una clave que administre, debe habilitar el cifrado del servidor del bucket de Amazon S3 con una clave administrada por el cliente y, a continuación, añadir una instrucción a la política de claves que permita a Amazon Chime usar la clave y cifrar cualquier artefacto cargado.

  1. Crear una clave administrada por el cliente en KMS. Para obtener información sobre cómo hacerlo, consulte Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en la Guía del usuario de Amazon S3.

  2. Añada una instrucción a la política de claves que permita que la acción de GenerateDataKey genere una clave para que la utilice la entidad principal del servicio de Amazon Chime SDK, mediapipelines.chime.amazonaws.com.

    En este ejemplo se muestra una instrucción típica.

    ...
{
    "Sid": "MediaPipelineSSEKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
           "aws:SourceAccount": "Account_Id"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
        }
    }
}
...

  3. Si utiliza una canalización de concatenación de contenido multimedia, añada una instrucción a la política de claves que permita a la entidad principal del servicio de Amazon Chime SDK, mediapipelines.chime.amazonaws.com, utilizar la acción de kms:Decrypt.

  4. Configure el bucket de Amazon S3 para habilitar el cifrado del servidor con la clave.