サーバー側の暗号化の実装 - MediaConvert

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバー側の暗号化の実装

Amazon S3 によるサーバー側の暗号化は、AWS Elemental で使用できる暗号化オプションの 1 つです。 MediaConvert

Amazon S3 でサーバー側の暗号化を使用することで、保管時の入力および出力ファイルを保護できます。

  • 入力ファイルを保護するには、Amazon S3 バケット内のオブジェクトと同様にサーバー側の暗号化を設定します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。

  • 出力ファイルを保護するには、AWS Elemental MediaConvert ジョブで、Amazon S3 MediaConvert が出力ファイルをアップロード時に暗号化するように指定します。デフォルトでは、出力ファイルは暗号化されません。このトピックの残りの部分では、出力ファイルを暗号化するためのジョブの設定について詳しく説明します。

サーバー側の暗号化用に AWS Elemental MediaConvert ジョブ出力を設定すると、Amazon S3 はそれをデータキーで暗号化します。追加のセキュリティ対策として、データキー自体がマスターキーで暗号化されます。

Amazon S3 がデータキーをデフォルトの Amazon S3 マネージドキーを使用して暗号化するか、 AWS Key Management Service ()AWS KMSによって管理される KMS キーを使用して暗号化するかを選択します。デフォルトの Amazon S3 マスターキーを使用するのが最も簡単にセットアップできます。キーをより細かく制御したい場合は、 AWS KMSキーを使用してください。で管理される KMS キーの種類について詳しくは AWS KMS、「What is AWS Key Management Service?」を参照してください。 『AWS Key Management Service 開発者ガイド』の。

AWS KMS キーを使用する場合は、 AWS アカウントでカスタマー管理キーを指定できます。それ以外の場合は、エイリアスを持つ Amazon S3 AWS KMS AWS のマネージドキーを使用しますaws/s3

サーバー側の暗号化用にジョブの出力を設定するには

  1. https://console.aws.amazon.com/mediaconvert MediaConvert でコンソールを開きます。

  2. [Create job (ジョブを作成)] を選択します。

  3. ビデオとオーディオの入力、出力グループ、および出力を設定します。方法については、「MediaConvert でのジョブの設定」と「出力の作成する」を参照してください。

  4. 暗号化する出力がある出力グループごとに、サーバー側の暗号化を設定します。

    1. 左側の [Job (ジョブ)] ペインで、出力グループを選択します。

    2. 右側のグループ設定セクションで、[Server-side encryption (サーバー側の暗号化)] を選択します。API または SDK を使用する場合は、この設定はジョブの JSON ファイルにあります。設定名は S3EncryptionSettings です。

    3. 暗号化キー管理では、 AWS データキーを保護するサービスを選択してください。API または SDK を使用する場合は、この設定はジョブの JSON ファイルにあります。設定名は S3ServerSideEncryptionType です。

      [Amazon S3] を選択した場合は、Amazon S3 は、Amazon S3 が保管しているカスタマー管理のキーを使用してデータキーを暗号化します。AWS KMS を選択した場合、Amazon S3 は AWS Key Management Service (AWS KMS) が保管して管理している KMS をキー使用してデータキーを暗号化します。

    4. 前のステップで AWS KMS を選択した場合、オプションで [ AWS Key Management Serviceとは?] の 1 つで ARN を指定します。その場合は、 AWS KMS その KMS キーを使用して、Amazon S3 がメディアファイルの暗号化に使用するデータキーを暗号化します。

      AWS KMS のキーを指定しない場合は、Amazon S3 は Amazon S3 に独占的に使用される AWS アカウントの AWS 管理キーを使用します。

    5. AWS KMS暗号化キー管理を選択した場合は、AWS Elemental MediaConvert AWS Identity and Access Management (IAM) kms:Encrypt kms:GenerateDataKey ロールに権限を付与します。これにより、 MediaConvert 出力ファイルを暗号化できます。 MediaConvert これらの出力を別のジョブの入力としても使用できるようにしたい場合は、kms:Decrypt権限も付与してください。詳細については、以下のトピックを参照してください。

      • AWS Elemental MediaConvert が引き受ける IAM ロールの設定の詳細については、このガイドの「IAM アクセス許可のセットアップ はじめに」の章のを参照してください。

      • インラインポリシーを使用した IAM 権限の付与の詳細については、「IAM User Guide」 (IAMユーザーガイド) の「Adding IAM identity permissions (Console)」 (IAM アイデンティティ権限の追加 (コンソール)) の「To embed an inline policy for a user or role」 (ユーザーまたはロールにインラインポリシーを埋め込むには) の手順を参照してください。

      • 暗号化されたコンテンツの復号化など、 AWS KMS アクセス権限を付与する IAM ポリシーの例については、『開発者ガイド』の「カスタマー管理ポリシーの例」を参照してください。AWS Key Management Service

  5. AWS Elemental MediaConvert ジョブを通常どおり実行してください。暗号化キーの管理AWS KMS を選択した場合は、出力にアクセスするユーザーまたはロールに kms:Decrypt 許可を与えることを忘れないでください。