Opciones de cifrado de datos

Puede proteger sus datos de Elastic Transcoder mediante el cifrado de cualquier archivo de entrada y salida que desee utilizar para una tarea de transcodificación, mientras que los archivos están almacenados o en reposo en Amazon S3. Esto incluye el archivo de entrada, el archivo de salida y cualquier miniatura, subtítulo, marca de agua de entrada o carátula de álbum de entrada. Las listas de reproducción y los metadatos no están cifrados.

Todos los recursos para una tarea, incluidos la canalización, los buckets de Amazon S3 y la clave de AWS Key Management Service, deben estar en la misma región de AWS.

Temas

• Opciones de cifrado
• Uso de AWS KMS con Elastic Transcoder
• Protección de contenido de HLS
• Administración de derechos digitales

Opciones de cifrado

Elastic Transcoder admite dos opciones de cifrado principales:

• Cifrado de datos del servidor de Amazon S3: AWS administra el proceso de cifrado por sí solo. Por ejemplo, Elastic Transcoder llama a Amazon S3 y este cifra los datos, los guarda en discos en centros de datos y descifra los datos cuando los descarga.

  De forma predeterminada, los buckets de Amazon S3 aceptan archivos cifrados y no cifrados, pero se puede configurar el bucket de Amazon S3 para aceptar únicamente archivos cifrados. No hace falta que realice cambios en los permisos siempre y cuando Elastic Transcoder tenga acceso a su bucket de Amazon S3.

  Para obtener más información sobre el cifrado del servidor de Amazon S3, consulte Protección de datos con el cifrado del servidor en la Guía del usuario de Amazon Simple Storage Service. Para obtener más información acerca de claves de AWS KMS, consulte ¿Qué es AWS Key Management Service? en la Guía para desarrolladores de AWS Key Management Service.

  nota

  La utilización de claves de AWS-KMS conlleva cargos adicionales. Para obtener más información, consulte Precios de AWS Key Management Service.

• Cifrado del cliente con claves de cifrado proporcionadas por el cliente: Elastic Transcoder también puede utilizar una clave de cifrado proporcionada por el cliente para descifrar archivos de entrada (que haya cifrado usted mismo anteriormente) o para cifrar sus archivos de salida antes de almacenarlos en Amazon S3. En este caso, administra las claves de cifrado y las herramientas relacionadas.

  Si desea que Elastic Transcoder transcodifique un archivo mediante claves proporcionadas por el cliente, su solicitud de tarea debe incluir la clave de cifrado de AWS KMS que utilizó para cifrar el archivo, el MD5 de la clave que se utilizará como una suma de comprobación y el vector de inicialización (o una serie de bits aleatorios que creada por un generador de bits aleatorios) que desee que Elastic Transcoder utilice al cifrar sus archivos de salida.

  Elastic Transcoder solo puede utilizar las claves proporcionadas por el cliente que se cifren con una clave de AWS KMS y se debe dar permiso a Elastic Transcoder para utilizar la clave de KMS. Para cifrar su clave, debe llamar a AWS KMS mediante programación con una llamada de cifrado que contenga la siguiente información:

  {
      "EncryptionContext": {
          "service" : "elastictranscoder.amazonaws.com"
      },
      "KeyId": "The ARN of the key associated with your pipeline",
      "Plaintext": blob that is your AES key
  }

  importante

  AWS nunca almacena las claves de cifrado privadas y sus datos sin cifrar, por lo que es muy importante que administre de manera segura las claves de cifrado. Si las pierde, no podrá descifrar los datos.

  Para conceder a Elastic Transcoder permiso para utilizar su clave, consulte Uso de AWS KMS con Elastic Transcoder.

  Para obtener más información sobre el cifrado de datos, consulte la referencia de la API de AWS KMS y Cifrado y descifrado de datos. Para obtener más información sobre contextos, consulte Contexto de cifrado en la Guía para desarrolladores de AWS Key Management Service.

  Para obtener más información sobre las claves proporcionadas por el cliente, consulte Protección de los datos con el cifrado del servidor con claves de cifrado proporcionadas por el cliente en la Guía del usuario de Amazon Simple Storage Service.

Para obtener información sobre la configuración necesaria al descifrar y cifrar archivos con la consola de Elastic Transcoder, consulte (Opcional) Cifrado de salidas. Para obtener información acerca de la configuración necesaria al descifrar y cifrar archivos mediante la API de Elastic Transcoder, consulte la acción de la API de Crear tarea que comienza por el elemento Cifrado.

Uso de AWS KMS con Elastic Transcoder

Puede utilizar AWS Key Management Service (AWS KMS) con Elastic Transcoder para crear y administrar las claves de cifrado que se utilizan para cifrar sus datos. Para poder configurar Elastic Transcoder para usar AWS KMS, debe tener lo siguiente:

• Canalización de Elastic Transcoder

• Rol de IAM asociado a su canalización de Elastic Transcoder

• Clave de AWS KMS

• El ARN de la clave de AWS KMS

Los siguientes procedimientos muestran cómo identificar los recursos existentes o crear otros nuevos.

Preparación para usar AWS KMS con Elastic Transcoder

Para crear una canalización

• Siga los pasos de Eliminación de una canalización de Elastic Transcoder.

Para identificar el rol de IAM asociado con la canalización

1. Inicie sesión en la AWS Management Console y abra la consola de Elastic Transcoder en https://console.aws.amazon.com/elastictranscoder/.

2. En el panel de navegación, haga clic en Pipelines.

3. Haga clic en el icono de lupa junto al nombre de la canalización.

4. Haga clic en la sección Permissions para ampliarla.

5. Anote el rol de IAM. Si utiliza el rol predeterminado creado por Elastic Transcoder, el rol es Elastic_Transcoder_Default_Role.

Para crear una clave de AWS KMS

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. Siga los pasos que se indican en Creación de claves.

Para identificar el ARN de una clave de AWS KMS

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, haga clic en Encryption Keys.

3. En la lista desplegable de regiones, seleccione la región en la que se encuentran su clave y canalización.

4. Haga clic en la clave que desea usar.

5. Anote la función del ARN.

Puede utilizar la consola para crear una clave de AWS KMS, pero debe utilizar las API de cifrado y descifrado para cifrar o descifrar datos con una clave de AWS KMS. Para obtener más información, consulte Cifrado y descifrado de datos.

Conexión de Elastic Transcoder y AWS KMS

Una vez que tenga la canalización, el rol de IAM y la clave de AWS KMS, debe indicar a la canalización qué clave debe usar y decirle a la clave qué rol de IAM puede utilizarla.

Para añadir la clave de AWS KMS a su canalización

1. Abra la consola de Elastic Transcoder en https://console.aws.amazon.com/elastictranscoder/.

2. Seleccione la canalización con la que desea utilizar la clave de AWS KMS y, a continuación, haga clic en Edit (Editar).

3. Haga clic en la sección Encryption para ampliarla y en la sección AWS KMS Key ARN, seleccione Custom.

4. Escriba el ARN de su clave de AWS KMS y haga clic en Save (Guardar).

Para añadir un rol de IAM a su clave de AWS KMS

Si no ha creado su clave de AWS KMS con el rol de IAM asociado a la canalización, puede añadirla siguiendo este procedimiento:

1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

2. En la lista desplegable Region (Región), seleccione la región de que eligió al crear la clave de y la canalización.

3. En el panel de navegación, elija Claves administradas por el cliente.

4. En la sección Customer managed keys (Claves administradas por el cliente) de la derecha, elija el nombre de la clave que desea utilizar.

5. En la sección Key users (Usuarios clave) elija Add (Añadir).

6. En la página Add key users (Añadir usuarios clave), busque la función asociada a la canalización, selecciónela en los resultados y, a continuación, seleccione Add (Añadir).

A partir de ahora puede utilizar la clave de AWS KMS con la canalización de Elastic Transcoder.