データ暗号化のオプション - Amazon Elastic Transcoder
暗号化オプションKMS の使用

でコストを削減し、より多くの機能を取得 AWS Elemental MediaConvert

MediaConvert は、最新のファイルベースのビデオトランスコーディングサービスで、高度なトランスコーディング機能の包括的なスイートを提供します。オンデマンド料金は 1 分あたり 0.0075 USD からとなります。もっと読む

既に Amazon Elastic Transcoder をご使用中ですか? への移行は簡単です MediaConvert。詳細については、移行プロセスに関する貴重な情報やその他のリソースへのリンクを記載した本概要を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ暗号化のオプション

ファイルを Amazon S3 に保存 (保管) する一方で、トランスコーディングジョブで使用する入力ファイルや出力ファイルをすべて暗号化することによって、Elastic Transcoder のデータを保護できます。これには、入力ファイル、出力ファイル、サムネイル、キャプション、入力ウォーターマーク、または入力アルバムアートが含まれます。プレイリストとメタデータは暗号化されません。

ジョブの全リソース (パイプライン、Amazon S3 バケット、AWS Key Management Service キーを含む) が同一の AWS リージョン内にあるはずです。

トピック

暗号化オプション

Elastic Transcoder では、2 つの主要な暗号化オプションがサポートされています。

  • Amazon S3 のサーバー側の暗号化: AWS がお客様の暗号化プロセスを管理します。例えば、Elastic Transcoder は Amazon S3 を呼び出し、Amazon S3 はデータを暗号化し、データセンター内のディスクに保存して、ダウンロードするときにデータを復号化します。

    デフォルトでは、Amazon S3 バケットは暗号化されたファイルと暗号化されていないファイルの両方を受け入れますが、暗号化されたファイルだけを受け入れるように Amazon S3 バケットを設定できます。Elastic Transcoder が Amazon S3 バケットにアクセスできる限り、アクセス権限を変更する必要がありません。

    Amazon S3 のサーバー側の暗号化の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。AWS KMS キーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS Key Management Service とは」を参照してください。

    注記

    AWS-KMS キーを使用するための追加料金は不要です。詳細については、「AWS Key Management Service の料金」を参照してください。

  • お客様が用意したキーによるクライアント側の暗号化: Elastic Transcoder では、お客様が用意した暗号化キーを使用して、入力ファイル (お客様によって暗号化済みのもの) を復号することや、Amazon S3 に保存する前に出力ファイルを暗号化することができます。この場合、暗号化キーや関連ツールはお客様が管理してください。

    お客様が用意したキーを使用して Elastic Transcoder でファイルをトランスコードする場合、ジョブのリクエストには、ファイルを暗号化するために使用した AWS KMS 暗号化キー、チェックサムとして使用されるキーの MD5、出力ファイルを暗号化するときに Elastic Transcoder で使用する初期化ベクトル (またはランダムビットジェネレーターによって作成される一連のランダムビット) を含める必要があります。

    Elastic Transcoder では、AWS KMS KMS キーで暗号化された、お客様が用意したキーのみを使用することができ、Elastic Transcoder には KMS キーを使用するためのアクセス許可が必要です。キーを暗号化するには、次の情報が含まれている暗号化の呼び出しを使用して、プログラムによって AWS KMS を呼び出す必要があります。

    {
    "EncryptionContext": {
        "service" : "elastictranscoder.amazonaws.com"
    },
    "KeyId": "The ARN of the key associated with your pipeline",
    "Plaintext": blob that is your AES key
}
    重要

    プライベート暗号化キーと暗号化されていないデータは AWS には保存されません。したがって、暗号化キーを安全に管理することが重要です。キーを紛失すると、データを復号できなくなります。

    キーを使用するためのアクセス許可を Elastic Transcoder に付与する方法については、「Elastic Transcoder との AWS KMS の使用」を参照してください。

    データ暗号化の詳細については、AWS KMS API リファレンスと「データの暗号化と復号化」を参照してください。コンテキストについての詳細は、『AWS Key Management Service デベロッパー ガイド』の「暗号化コンテキスト」を参照してください。

    お客様が提供するキーの詳細については、『Amazon Simple Storage Service ユーザーガイド』の「お客様が用意した暗号化キーによるサーバー側の暗号化を使用したデータの保護」を参照してください。

Elastic Transcoder コンソールを使用してファイルの復号化と暗号化を行う際に必要な設定については、「(オプション) Output Encryption」を参照してください。Elastic Transcoder API を使用してファイルの復号化と暗号化を行う際に必要な設定については、暗号化要素から始まる ジョブを作成する API アクションを参照してください。

Elastic Transcoder との AWS KMS の使用

AWS Key Management Service (AWS KMS) を Elastic Transcoder とともに使用すれば、データの暗号化に使用する暗号化キーの作成および管理を実行できます。AWS KMS を使用するように Elastic Transcoder を設定する際には、あらかじめ以下を用意しておく必要があります。

  • Elastic Transcoder のパイプライン

  • Elastic Transcoder パイプラインに関連付けられた IAM ロール

  • AWS KMS キー

  • AWS KMS キーの ARN

次の手順は、既存のリソースを識別する方法または新しいリソースを作成する方法を示します。

AWS KMS の Elastic Transcoder との使用にあたって

パイプラインを作成するには
パイプラインに関連付けられた IAM ロールを特定する方法

  1. https://console.aws.amazon.com/elasticbeanstalk/ で AWS Management Console にサインインして Elastic Transcoder コンソールを開きます。

  2. ナビゲーションペインで、[Pipelines] (パイプライン) をクリックします。

  3. パイプラインの名の横の拡大鏡アイコンをクリックします。

  4. [Permissions] セクションをクリックして展開します。

  5. IAM ロールの情報を書き留めます。Elastic Transcoder によって作成されたデフォルトのロールを使用している場合、ロールは Elastic_Transcoder_Default_Role になります。

AWS KMS キーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. キーの作成」の手順を行います。

AWS KMS キーの ARN を特定するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[Encryption Keys] をクリックします。

  3. リージョンのドロップダウンリストで、キーとパイプラインがあるリージョンを選択します。

  4. 使用するキーをクリックします。

  5. ARN を書き留めます。

コンソールを使用して AWS KMS キーを作成できますが、暗号化および復号化 API を使用して、AWS KMS キーでデータを暗号化または復号化する必要があります。詳細については、「データの暗号化と復号」を参照してください。

Elastic Transcoder と AWS KMS の接続

パイプライン、IAM ロール、AWS KMS キーの準備ができたら、パイプラインに対して使用するキーを指定し、IAM ロールが使用できるキーを指定する必要があります。

AWS KMS キーをパイプラインに追加するには

  1. https://console.aws.amazon.com/elastictranscoder/ で Elastic Transcoder コンソールを開きます。

  2. AWS KMS キーを使用するパイプラインを選択し、[Edit] をクリックします。

  3. [Encryption] セクションをクリックして展開し、[AWS KMS Key ARN] セクションで [Custom] を選択します。

  4. AWS KMS キーの ARN を入力し、[Save] をクリックします。

IAM ロールを AWS KMS キーに追加する方法

パイプラインに関連付けられた IAM ロールを使用して AWS KMS キーを作成していなかった場合は、次の手順で追加できます。

  1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. リージョンのドロップダウンリストで、キーとパイプラインを作成したときに選択したリージョンを選択します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. 右側の [カスタマー管理型のキー] で、使用するキーの名前を選択します。

  5. [Key users (キーのユーザー)] セクションで、[Add (追加)] を選択します。

  6. [Add key users (キーのユーザーを追加)] ページで、パイプラインに関連付けられたロールを検索し、検索結果からロールを選択して [Add (追加)] を選択します。

これで、Elastic Transcoder パイプラインで AWS KMS キーを使用できます。