Octroi d'autorisations MediaConvert pour accéder à des compartiments S3 cryptés - MediaConvert

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d'autorisations MediaConvert pour accéder à des compartiments S3 cryptés

Lorsque vous activez le chiffrement par défaut d'Amazon S3, Amazon S3 chiffre automatiquement vos objets lorsque vous les chargez. Vous pouvez éventuellement choisir d'utiliser AWS Key Management Service (KMS) pour gérer la clé principale. C'est ce que l'on appelle le chiffrement SSE-KMS.

Si vous activez le chiffrement par défaut SSE-KMS sur les compartiments qui contiennent vos fichiers MediaConvert d'entrée ou de sortie AWS Elemental, vous devez ajouter des politiques en ligne à votre rôle de MediaConvert service. À défaut, MediaConvert ne pourra pas lire vos fichiers d'entrée ni écrire vos fichiers de sortie. Accordez ces autorisations :

  • Si votre compartiment d'entrée utilise le chiffrement par défaut SSE-KMS, accordez kms:Decrypt

  • Si votre compartiment de sortie utilise le chiffrement par défaut SSE-KMS, accordez kms:GenerateDataKey

L'exemple suivant de politique en ligne accorde les deux autorisations.

Exemple de politique en ligne avec kms:decrypt et kms :GenerateDataKey

Cette politique accorde des autorisations à la fois pour KMS:Decrypt et pour kms :GenerateDataKey.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" } } } ] }