Menerapkan enkripsi sisi server - MediaConvert

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menerapkan enkripsi sisi server

Enkripsi sisi server dengan Amazon S3 adalah salah satu opsi enkripsi yang dapat Anda gunakan dengan AWS Elemental. MediaConvert

Anda dapat melindungi file input dan output saat istirahat dengan menggunakan enkripsi sisi server dengan Amazon S3:

  • Untuk melindungi file input Anda, siapkan enkripsi sisi server seperti yang Anda lakukan untuk objek apa pun di bucket Amazon S3. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi sisi server di Panduan Pengguna Amazon Simple Storage Service.

  • Untuk melindungi file keluaran Anda, tentukan di MediaConvert pekerjaan AWS Elemental Anda bahwa Amazon S3 mengenkripsi file keluaran Anda saat mengunggahnya. MediaConvert Secara default, file output Anda tidak dienkripsi. Sisa topik ini memberikan informasi lebih lanjut tentang pengaturan pekerjaan Anda untuk mengenkripsi file output Anda.

Saat Anda menyiapkan output MediaConvert pekerjaan AWS Elemental untuk enkripsi sisi server, Amazon S3 mengenkripsinya dengan kunci data. Sebagai langkah keamanan tambahan, kunci data itu sendiri dienkripsi dengan kunci master.

Anda memilih apakah Amazon S3 mengenkripsi kunci data dengan menggunakan kunci terkelola Amazon S3 default atau kunci KMS yang dikelola oleh (). AWS Key Management Service AWS KMS Menggunakan kunci master Amazon S3 default paling sederhana untuk disiapkan. Jika Anda lebih suka kontrol lebih besar atas kunci Anda, gunakan AWS KMS kunci. Untuk informasi selengkapnya tentang berbagai jenis kunci KMS yang dikelola AWS KMS, lihat Apa itu? AWS Key Management Service di Panduan AWS Key Management Service Pengembang.

Jika Anda memilih untuk menggunakan AWS KMS kunci, Anda dapat menentukan kunci yang dikelola pelanggan di AWS akun Anda. Jika tidak, AWS KMS gunakan kunci AWS terkelola untuk Amazon S3, yang memiliki alias. aws/s3

Untuk menyiapkan output pekerjaan Anda untuk enkripsi sisi server

  1. Buka MediaConvert konsol di https://console.aws.amazon.com/mediaconvert.

  2. Pilih Buat tugas.

  3. Siapkan input, grup keluaran, dan output untuk video dan audio, seperti yang dijelaskan dalam Mengkonfigurasi pekerjaan di MediaConvert danMembuat output.

  4. Untuk setiap grup keluaran yang memiliki output yang ingin dienkripsi, siapkan enkripsi sisi server:

    1. Di panel Job di sebelah kiri, pilih grup keluaran.

    2. Di bagian pengaturan grup di sebelah kanan, pilih Enkripsi sisi server. Jika Anda menggunakan API atau SDK, Anda dapat menemukan setelan ini di file JSON pekerjaan Anda. Nama pengaturannya adalahS3EncryptionSettings.

    3. Untuk manajemen kunci Enkripsi, pilih AWS layanan yang melindungi kunci data Anda. Jika Anda menggunakan API atau SDK, Anda dapat menemukan setelan ini di file JSON pekerjaan Anda. Nama pengaturannya adalahS3ServerSideEncryptionType.

      Jika Anda memilih Amazon S3, Amazon S3 mengenkripsi kunci data Anda dengan kunci terkelola pelanggan yang disimpan Amazon S3 dengan aman. Jika Anda memilih AWS KMS, Amazon S3 mengenkripsi kunci data Anda dengan kunci KMS yang AWS Key Management Service ()AWS KMS menyimpan dan mengelola.

    4. Jika Anda memilih AWS KMSpada langkah sebelumnya, secara opsional tentukan ARN dari salah satu What is? AWS Key Management Service . Jika Anda melakukannya, AWS KMS akan menggunakan kunci KMS itu untuk mengenkripsi kunci data yang digunakan Amazon S3 untuk mengenkripsi file media Anda.

      Jika Anda tidak menentukan kunci untuk AWS KMS, Amazon S3 menggunakan kunci AWS terkelola di AWS akun Anda yang digunakan secara eksklusif untuk Amazon S3.

    5. Jika Anda memilih AWS KMSuntuk manajemen kunci Enkripsi, berikan kms:Encrypt dan kms:GenerateDataKey izin untuk peran AWS MediaConvert AWS Identity and Access Management Elemental (IAM) Anda. Ini memungkinkan MediaConvert untuk mengenkripsi file output Anda. Jika Anda juga ingin dapat menggunakan output ini sebagai input ke MediaConvert pekerjaan lain, berikan juga izinkms:Decrypt. Untuk mempelajari lebih lanjut, lihat topik ini:

      • Untuk informasi selengkapnya tentang menyiapkan peran IAM untuk diasumsikan oleh AWS MediaConvert Elemental, Menyiapkan izin Peran IAM lihat di bagian Memulai panduan ini.

      • Untuk informasi selengkapnya tentang pemberian izin IAM menggunakan kebijakan sebaris, lihat prosedur Untuk menyematkan kebijakan sebaris untuk pengguna atau peran dalam Menambahkan izin identitas IAM (Konsol) di Panduan Pengguna IAM.

      • Untuk contoh kebijakan IAM yang memberikan AWS KMS izin, termasuk mendekripsi konten terenkripsi, lihat Contoh kebijakan yang dikelola pelanggan di Panduan Pengembang.AWS Key Management Service

  5. Jalankan MediaConvert pekerjaan AWS Elemental Anda seperti biasa. Jika Anda memilih AWS KMSuntuk manajemen kunci Enkripsi, ingatlah untuk memberikan kms:Decrypt izin kepada pengguna atau peran apa pun yang Anda inginkan untuk dapat mengakses output Anda.