Implementazione della crittografia lato server

La crittografia lato server con Amazon S3 è una delle opzioni di crittografia che puoi utilizzare con Elemental. AWS MediaConvert

Puoi proteggere i tuoi file di input e output inattivi utilizzando la crittografia lato server con Amazon S3:

• Per proteggere i file di input, configura la crittografia lato server come faresti per qualsiasi oggetto in un bucket Amazon S3. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server nella Guida per l'utente di Amazon Simple Storage Service.

• Per proteggere i file di output, specifica nel MediaConvert job AWS Elemental che Amazon S3 cripta i file MediaConvert di output mentre li carica. Per impostazione predefinita, i file di output non vengono crittografati. Per il resto, questo argomento fornisce ulteriori informazioni su come impostare il processo per crittografare i file di output.

Quando configuri un output di MediaConvert lavoro AWS Elemental per la crittografia lato server, Amazon S3 lo crittografa con una chiave dati. Come ulteriore misura di sicurezza, anche la chiave di dati viene a sua volta crittografata con una chiave master.

Puoi scegliere se Amazon S3 crittografa la chiave dati utilizzando la chiave gestita Amazon S3 predefinita o una KMS chiave gestita da (). AWS Key Management Service AWS KMS L'utilizzo della chiave master Amazon S3 predefinita è il più semplice da configurare. Se preferisci un maggiore controllo sulla tua chiave, usa una AWS KMS chiave. Per ulteriori informazioni sui diversi tipi di KMS chiavi gestite con AWS KMS, vedi Cos'è AWS Key Management Service? nella Guida per gli AWS Key Management Service sviluppatori.

Se scegli di utilizzare una AWS KMS chiave, puoi specificare una chiave gestita dal cliente nel tuo AWS account. Altrimenti, AWS KMS utilizza la chiave AWS gestita per Amazon S3, che ha l'alias. aws/s3

Come configurare gli output di processo per la crittografia lato server

1. Apri la MediaConvert console all'indirizzo https://console.aws.amazon.com/mediaconvert.

2. Scegli Crea processo.

3. Configura l'input, i gruppi di output e gli output per video e audio, come descritto in Configurazione dei lavori in MediaConvert e Creazione di output.

4. Per ogni gruppo di output contenente elementi da crittografare, bisogna impostare la crittografia lato server:

   1. Nel riquadro Job (Processo) a sinistra, scegliere il gruppo di output.

   2. Nella sezione delle impostazioni di gruppo a destra, scegli Crittografia lato server. Se usi API o unSDK, puoi trovare questa impostazione nel JSON file del tuo lavoro. Il nome dell'impostazione èS3EncryptionSettings.

   3. Per la gestione delle chiavi di crittografia, scegli il AWS servizio che protegge la tua chiave dati. Se usi API o unSDK, puoi trovare questa impostazione nel JSON file del tuo lavoro. Il nome dell'impostazione èS3ServerSideEncryptionType.

      Se scegli Amazon S3, Amazon S3 crittografa la tua chiave dati con una chiave gestita dal cliente che Amazon S3 archivia in modo sicuro. Se lo desideri AWS KMS, Amazon S3 crittografa la tua chiave dati con una KMS chiave che AWS Key Management Service (AWS KMS) archivia e gestisce.

   4. Se hai scelto AWS KMSnel passaggio precedente, opzionalmente specifica uno ARN dei tuoi articoli What is? AWS Key Management Service . In tal caso, AWS KMS utilizzerà quella KMS chiave per crittografare la chiave dati utilizzata da Amazon S3 per crittografare i file multimediali.

      Se non specifichi una chiave per AWS KMS, Amazon S3 utilizza la chiave AWS gestita nel tuo AWS account utilizzata esclusivamente per Amazon S3.

   5. Se hai scelto AWS KMSla gestione delle chiavi di crittografia, concedi kms:Encrypt e kms:GenerateDataKey autorizzazioni al tuo ruolo AWS MediaConvert AWS Identity and Access Management Elemental (). IAM Ciò consente di MediaConvert crittografare i file di output. Se vuoi poter utilizzare questi output anche come input per un altro MediaConvert lavoro, concedi anche le autorizzazioni. kms:Decrypt Per ulteriori informazioni, consulta i seguenti argomenti:

      • Per ulteriori informazioni sulla configurazione di un IAM ruolo da ricoprire per AWS MediaConvert Elemental, consulta Impostazione delle autorizzazioni IAM il capitolo Guida introduttiva di questa guida.

      • Per ulteriori informazioni sulla concessione IAM delle autorizzazioni utilizzando una politica in linea, consulta la procedura Per incorporare una politica in linea per un utente o un ruolo in Aggiungere autorizzazioni di IAM identità (Console) nella Guida per l'utente. IAM

      • Per esempi di IAM politiche che concedono AWS KMS autorizzazioni, inclusa la decrittografia dei contenuti crittografati, consulta Esempi di policy gestite dal cliente nella Guida per gli sviluppatori.AWS Key Management Service

5. Esegui il tuo job AWS Elemental MediaConvert come al solito. Se hai scelto AWS KMSla gestione delle chiavi di crittografia, ricordati di concedere kms:Decrypt le autorizzazioni a qualsiasi utente o ruolo a cui desideri possa accedere ai tuoi output.