Implementación del cifrado de servidor - MediaConvert

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación del cifrado de servidor

El cifrado del lado del servidor con Amazon S3 es una de las opciones de cifrado que puede utilizar con AWS Elemental. MediaConvert

Puede proteger sus archivos de entrada y salida en reposo mediante el cifrado de servidor con Amazon S3:

  • Para proteger sus archivos de entrada, configure el cifrado de servidor como lo haría para cualquier objeto en un bucket de Amazon S3. Para obtener más información, consulte Protección de los datos con el cifrado de servidor en la Guía del usuario de Amazon Simple Storage Service.

  • Para proteger los archivos de salida, especifique en su MediaConvert trabajo de AWS Elemental que Amazon S3 cifre los archivos de salida a medida que los MediaConvert carga. De forma predeterminada, los archivos de salida no están cifrados. El resto de este tema proporciona más información acerca de cómo configurar su trabajo para cifrar los archivos de salida.

Cuando configura una salida de MediaConvert trabajo de AWS Elemental para el cifrado del lado del servidor, Amazon S3 la cifra con una clave de datos. Como medida de seguridad adicional, la propia clave de datos se cifra con una clave maestra.

Usted elige si Amazon S3 cifra la clave de datos mediante la clave gestionada de Amazon S3 predeterminada o una KMS clave gestionada por AWS Key Management Service (AWS KMS). El uso de la clave maestra predeterminada de Amazon S3 es lo más sencillo de configurar. Si prefiere tener más control sobre su clave, utilice una AWS KMS clave. Para obtener más información sobre los distintos tipos de KMS claves que se gestionan con AWS KMS, consulte ¿Qué es AWS Key Management Service? en el AWS Key Management Service Guía para desarrolladores.

Si eliges usar un AWS KMS clave, puede especificar una clave gestionada por el cliente en su AWS account. De lo contrario, AWS KMS utiliza el AWS clave administrada para Amazon S3, que tiene el aliasaws/s3.

Para configurar las salidas del trabajo para el cifrado de servidor

  1. Abra la MediaConvert consola en https://console.aws.amazon.com/mediaconvert.

  2. Seleccione Crear trabajo.

  3. Configure la entrada, los grupos de salidas y las salidas para video y audio, tal como se describe en Configuración de trabajos en MediaConvert y Creación de salidas.

  4. Para cada grupo de salida que tenga salidas que desea cifrar, configure el cifrado de servidor:

    1. En el panel de Trabajo de la izquierda, elija el grupo de salidas.

    2. En la sección de configuración de grupos de la derecha, seleccione Cifrado de servidor. Si usa API o unaSDK, encontrará esta configuración en el JSON archivo de su trabajo. El nombre de la configuración es S3EncryptionSettings.

    3. Para la administración de claves de cifrado, elija AWS servicio que protege su clave de datos. Si usa API o unaSDK, puede encontrar esta configuración en el JSON archivo de su trabajo. El nombre de la configuración es S3ServerSideEncryptionType.

      Si elige Amazon S3, Amazon S3 cifra la clave de datos con una clave administrada por el cliente que Amazon S3 almacena de forma segura. Si selecciona AWS KMS, Amazon S3 cifra la clave de datos con una KMS clave que AWS Key Management Service (AWS KMS) almacena y administra.

    4. Si eliges AWS KMSen el paso anterior, si lo desea, especifique el ARN de uno de sus ¿Qué es AWS Key Management Service? . Si lo haces, AWS KMS utilizará esa KMS clave para cifrar la clave de datos que Amazon S3 utiliza para cifrar sus archivos multimedia.

      Si no especifica una clave para AWS KMS, Amazon S3 utiliza el AWS clave administrada en su AWS cuenta que se utiliza exclusivamente para Amazon S3.

    5. Si eliges AWS KMSpara la administración de claves de cifrado, otorga kms:GenerateDataKey permisos kms:Encrypt y otorga permisos a tu AWS Elemental MediaConvert AWS Identity and Access Management (IAM) rol. Esto MediaConvert permite cifrar los archivos de salida. Si también quieres poder usar estas salidas como entradas para otro MediaConvert trabajo, también debes conceder kms:Decrypt permisos. Para obtener más información, consulte estos temas:

      • Para obtener más información sobre cómo configurar un IAM rol para que AWS Elemental MediaConvert lo asuma, consulta Configuración de IAM permisos el capítulo Primeros pasos de esta guía.

      • Para obtener más información sobre la concesión de IAM permisos mediante una política integrada, consulte el procedimiento Para integrar una política integrada para un usuario o rol en Añadir permisos de IAM identidad (consola) en la Guía del IAMusuario.

      • Para ver ejemplos de IAM políticas que otorgan AWS KMS los permisos, incluido el descifrado del contenido cifrado, consulte los ejemplos de políticas gestionadas por el cliente en AWS Key Management Service Guía para desarrolladores.

  5. Ejecuta tu MediaConvert trabajo de AWS Elemental como de costumbre. Si eliges AWS KMSpara la administración de las claves de cifrado, recuerde conceder kms:Decrypt permisos a cualquier usuario o rol al que desee que pueda acceder a sus resultados.