Implementación del cifrado de servidor - MediaConvert

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación del cifrado de servidor

El cifrado del lado del servidor con Amazon S3 es una de las opciones de cifrado que puede utilizar con AWS Elemental. MediaConvert

Puede proteger sus archivos de entrada y salida en reposo mediante el cifrado de servidor con Amazon S3:

  • Para proteger sus archivos de entrada, configure el cifrado de servidor como lo haría para cualquier objeto en un bucket de Amazon S3. Para obtener más información, consulte Protección de los datos con el cifrado de servidor en la Guía del usuario de Amazon Simple Storage Service.

  • Para proteger los archivos de salida, especifique en su MediaConvert trabajo de AWS Elemental que Amazon S3 cifre los archivos de salida a medida que los MediaConvert carga. De forma predeterminada, los archivos de salida no están cifrados. El resto de este tema proporciona más información acerca de cómo configurar su trabajo para cifrar los archivos de salida.

Cuando configura una salida de MediaConvert trabajo de AWS Elemental para el cifrado del lado del servidor, Amazon S3 la cifra con una clave de datos. Como medida de seguridad adicional, la propia clave de datos se cifra con una clave maestra.

Usted elige si Amazon S3 cifra la clave de datos mediante la clave gestionada de Amazon S3 predeterminada o una KMS clave gestionada por AWS Key Management Service (AWS KMS). El uso de la clave maestra predeterminada de Amazon S3 es lo más sencillo de configurar. Si prefiere tener más control sobre su clave, utilice una AWS KMS clave. Para obtener más información sobre los distintos tipos de KMS claves que se administran AWS KMS, consulta ¿Qué es AWS Key Management Service? en la Guía para AWS Key Management Service desarrolladores.

Si decide usar una AWS KMS clave, puede especificar una clave administrada por el cliente en su AWS cuenta. De lo contrario, AWS KMS utiliza la clave AWS gestionada de Amazon S3, que tiene el aliasaws/s3.

Para configurar las salidas del trabajo para el cifrado de servidor

  1. Abra la MediaConvert consola en https://console.aws.amazon.com/mediaconvert.

  2. Seleccione Crear trabajo.

  3. Configure la entrada, los grupos de salidas y las salidas para video y audio, tal como se describe en Tutorial: Configuración de los ajustes del trabajo y Creación de salidas.

  4. Para cada grupo de salida que tenga salidas que desea cifrar, configure el cifrado de servidor:

    1. En el panel de Trabajo de la izquierda, elija el grupo de salidas.

    2. En la sección de configuración de grupos de la derecha, seleccione Cifrado de servidor. Si usa API o unaSDK, encontrará esta configuración en el JSON archivo de su trabajo. El nombre de la configuración es S3EncryptionSettings.

    3. Para la administración de claves de cifrado, elija el AWS servicio que proteja su clave de datos. Si utiliza una API o unaSDK, encontrará esta configuración en el JSON archivo de su trabajo. El nombre de la configuración es S3ServerSideEncryptionType.

      Si elige Amazon S3, Amazon S3 cifra la clave de datos con una clave administrada por el cliente que Amazon S3 almacena de forma segura. Si lo desea AWS KMS, Amazon S3 cifra la clave de datos con una KMS clave que AWS Key Management Service (AWS KMS) almacena y administra.

    4. Si lo ha elegido AWS KMSen el paso anterior, si lo desea, puede especificar una ARN de sus opciones ¿Qué es? AWS Key Management Service . Si lo hace, AWS KMS utilizará esa KMS clave para cifrar la clave de datos que Amazon S3 utiliza para cifrar sus archivos multimedia.

      Si no especifica una clave para AWS KMS, Amazon S3 utiliza la clave administrada por AWS en su cuenta de AWS que se utiliza exclusivamente para Amazon S3.

    5. Si optó AWS KMSpor la administración de claves de cifrado, conceda kms:GenerateDataKey permisos kms:Encrypt y permisos para su función de AWS Elemental MediaConvert AWS Identity and Access Management (IAM). Esto MediaConvert permite cifrar los archivos de salida. Si también quieres poder usar estas salidas como entradas para otro MediaConvert trabajo, también debes conceder kms:Decrypt permisos. Para obtener más información, consulte estos temas:

      • Para obtener más información sobre cómo configurar un IAM rol para que AWS Elemental MediaConvert lo asuma, consulta Configurar los IAM permisos el capítulo Primeros pasos de esta guía.

      • Para obtener más información sobre la concesión de IAM permisos mediante una política integrada, consulte el procedimiento Para integrar una política integrada para un usuario o rol en Añadir permisos de IAM identidad (consola) en la Guía del IAMusuario.

      • Para ver ejemplos de IAM políticas que otorgan AWS KMS permisos, incluido el descifrado de contenido cifrado, consulte los ejemplos de políticas administradas por el cliente en la AWS Key Management Service Guía para desarrolladores.

  5. Ejecuta tu MediaConvert trabajo de AWS Elemental como de costumbre. Si elige AWS KMS para Administración de clave cifrada, recuerde conceder permisos de kms:Decrypt a todos los usuarios o roles que desea que tengan acceso a las salidas.