Abilitazione della crittografia lato server per un bucket Amazon S3 - SDK Amazon Chime
Utilizzo di una chiave gestita Amazon S3Utilizzando una chiave di tua proprietà

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della crittografia lato server per un bucket Amazon S3

Per abilitare la crittografia lato server per un bucket Amazon Simple Storage Service (Amazon S3), puoi utilizzare questi tipi di chiavi di crittografia:

  • Una chiave gestita Amazon S3

  • Una chiave gestita dal cliente nel AWS Key Management Service (KMS)

    Nota

    Il servizio di gestione delle chiavi supporta due tipi di chiavi, chiavi gestite dal cliente e chiavi AWS gestite. Le riunioni Amazon Chime SDK supportano solo le chiavi gestite dai clienti.

Utilizzo di una chiave gestita Amazon S3

Utilizza la console Amazon S3, l'interfaccia a riga di comando o l'API REST per abilitare la crittografia lato server per un bucket Amazon S3. In entrambi i casi, scegli Amazon S3 Key come tipo di chiave di crittografia. Non sono necessarie ulteriori azioni. Quando si utilizza il bucket per l'acquisizione di file multimediali, gli artefatti vengono caricati e crittografati sul lato server. Per ulteriori informazioni, consulta la sezione Specificare la crittografia di Amazon S3 nella Amazon S3 User Guide.

Utilizzando una chiave di tua proprietà

Per abilitare la crittografia con una chiave gestita da te, devi abilitare la crittografia lato server del bucket Amazon S3 con una chiave gestita dal cliente, quindi aggiungere una dichiarazione alla politica della chiave che consenta ad Amazon Chime di utilizzare la chiave e crittografare eventuali artefatti caricati.

  1. Crea una chiave gestita dal cliente in KMS. Per informazioni su questa operazione, consulta Specificare la crittografia lato server con AWS KMS (SSE-KMS) nella Amazon S3 User Guide.

  2. Aggiungi una dichiarazione alla policy chiave che consenta all'GenerateDataKeyazione di generare una chiave da utilizzare da parte del responsabile del servizio Amazon Chime SDK,. mediapipelines.chime.amazonaws.com

    Questo esempio mostra una dichiarazione tipica.

    ...
{
    "Sid": "MediaPipelineSSEKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
           "aws:SourceAccount": "Account_Id"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
        }
    }
}
...

  3. Se utilizzi una pipeline di concatenazione multimediale, aggiungi una dichiarazione alla policy chiave che consenta al responsabile del servizio Amazon Chime SDK, di utilizzare l'azione. mediapipelines.chime.amazonaws.com kms:Decrypt

  4. Configura il bucket Amazon S3 per abilitare la crittografia lato server con la chiave.