Amazon S3 バケットのサーバー側の暗号化を有効にする - Amazon Chime SDK
Amazon S3 マネージドキーを使用する所有しているキーを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 バケットのサーバー側の暗号化を有効にする

Amazon Simple Storage Service (Amazon S3) バケットのサーバー側の暗号化を有効にするには、以下のタイプの暗号化キーを使用します。

  • Amazon S3 マネージドキー

  • Key Management Service (KMS) のカスタマーマネージド AWS キー

    注記

    Key Management Service は、カスタマーマネージドキーと AWS マネージドキーの 2 種類のキーをサポートしています。Amazon Chime SDK ミーティングは、カスタマーマネージドキーのみをサポートしています。

Amazon S3 マネージドキーを使用する

Amazon S3 コンソール、CLI、REST API を使用して、Amazon S3 バケットのサーバー側の暗号化を有効にします。いずれの場合でも、暗号化キータイプとして Amazon S3 キーを選択します。これ以上の操作は不要です。バケットをメディアキャプチャに使用すると、アーティファクトがサーバー側でアップロードされ、暗号化されます。詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 の暗号化の指定」をご参照ください。

所有しているキーを使用する

管理しているキーで暗号化を有効にするには、カスタマーマネージドキーで Amazon S3 バケットのサーバー側の暗号化を有効にしてから、Amazon Chime でそのキーを使用してアップロードされたアーティファクトを暗号化できるようにするステートメントをキーポリシーに追加する必要があります。

  1. KMS でカスタマーマネージドキーを作成します。詳細については、「Amazon S3 ユーザーガイド」の AWS KMS 「 (SSE-KMS) によるサーバー側の暗号化の指定」を参照してください。 Amazon S3

  2. GenerateDataKey アクションを実行し、Amazon Chime SDK サービスプリンシパルである mediapipelines.chime.amazonaws.com で使用するキーの生成を可能にするステートメントをキーポリシーに追加します。

    この例は、典型的なステートメントを示しています。

    ...
{
    "Sid": "MediaPipelineSSEKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
           "aws:SourceAccount": "Account_Id"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
        }
    }
}
...

  3. メディア連結パイプラインを使用する場合は、Amazon Chime SDK サービスプリンシパルである mediapipelines.chime.amazonaws.comkms:Decrypt アクションの使用を許可するステートメントをキーポリシーに追加します。

  4. キーによるサーバー側の暗号化を有効にするように Amazon S3 バケットを設定します。