サーバー側の暗号化の実装 - MediaConvert

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバー側の暗号化の実装

Amazon S3 によるサーバー側の暗号化は、Elemental で使用できる暗号化オプションの 1 AWS つです MediaConvert。

Amazon S3 でサーバー側の暗号化を使用することで、保管時の入力および出力ファイルを保護できます。

  • 入力ファイルを保護するには、Amazon S3 バケット内のオブジェクトと同様にサーバー側の暗号化を設定します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。

  • 出力ファイルを保護するには、Amazon S3 が出力ファイル MediaConvert をアップロード時に暗号化するように AWS Elemental MediaConvert ジョブで を指定します。デフォルトでは、出力ファイルは暗号化されません。このトピックの残りの部分では、出力ファイルを暗号化するためのジョブの設定について詳しく説明します。

サーバー側の暗号化用に AWS Elemental MediaConvert ジョブ出力を設定すると、Amazon S3 はデータキーを使用してそれを暗号化します。追加のセキュリティ対策として、データキー自体がマスターキーで暗号化されます。

Amazon S3 がデフォルトの Amazon S3 マネージドキーまたは AWS Key Management Service () によって管理されるKMSキーを使用してデータキーを暗号化するかどうかを選択しますAWS KMS。デフォルトの Amazon S3 マスターキーの使用は、設定が最も簡単です。キーをより細かく制御したい場合は、 AWS KMSキーを使用します。で管理されるさまざまなタイプのKMSキーの詳細については AWS KMS、 AWS Key Management Service デベロッパーガイド「 とは AWS Key Management Service」を参照してください。

AWS KMS キーを使用する場合は、アカウントで AWS カスタマーマネージドキーを指定できます。それ以外の場合、 は、エイリアス を持つ Amazon S3 の AWS マネージドキー AWS KMS を使用しますaws/s3

サーバー側の暗号化用にジョブの出力を設定するには
  1. MediaConvert コンソールを https://console.aws.amazon.com/mediaconvert で開きます。

  2. [Create job (ジョブを作成)] を選択します。

  3. ビデオとオーディオの入力、出力グループ、および出力を設定します。方法については、「チュートリアル: ジョブ設定の設定」と「出力の作成する」を参照してください。

  4. 暗号化する出力がある出力グループごとに、サーバー側の暗号化を設定します。

    1. 左側の [Job (ジョブ)] ペインで、出力グループを選択します。

    2. 右側のグループ設定セクションで、[Server-side encryption (サーバー側の暗号化)] を選択します。API または を使用する場合SDK、この設定はジョブの JSON ファイルにあります。設定名は S3EncryptionSettings です。

    3. 暗号化キー管理 では、データキーを保護する AWS サービスを選択します。API または を使用する場合SDK、この設定はジョブの JSON ファイルにあります。設定名は S3ServerSideEncryptionType です。

      [Amazon S3] を選択した場合は、Amazon S3 は、Amazon S3 が保管しているカスタマー管理のキーを使用してデータキーを暗号化します。を選択するとAWS KMS、Amazon S3 は AWS Key Management Service (AWS KMS) が保存および管理するキーを使用してデータKMSキーを暗号化します。

    4. 前のステップAWS KMSで を選択した場合は、オプションで とは AWS Key Management ServiceARNの 1 つを指定します。その場合、 AWS KMS はそのKMSキーを使用してAmazon S3がメディアファイルの暗号化に使用するデータキーを暗号化します。

      AWS KMS のキーを指定しない場合は、Amazon S3 は Amazon S3 に独占的に使用される AWS アカウントの AWS 管理キーを使用します。

    5. 暗号化キー管理 AWS KMSを選択した場合は、Elemental MediaConvert AWS Identity and Access Management (IAM) AWS ロールに kms:Encrypt および kms:GenerateDataKey アクセス許可を付与します。これにより MediaConvert 、 は出力ファイルを暗号化できます。また、これらの出力を別の MediaConvert ジョブへの入力として使用できるようにする場合は、kms:Decryptアクセス許可も付与します。詳細については、以下のトピックを参照してください。

      • Elemental AWS が引き受け MediaConvert るIAMロールの設定の詳細については、このガイドのアクセスIAM許可の設定 「入門」章の「」を参照してください。

      • インラインポリシーを使用したIAMアクセス許可の付与の詳細については、IAM「 ユーザーガイド」の「ユーザーまたはロールにインラインポリシーを埋め込むにはIAM」を参照してください。

      • 暗号化されたコンテンツの復号など、 AWS KMS アクセス許可を付与するIAMポリシーの例については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドポリシーの例」を参照してください。

  5. Elemental AWS MediaConvert ジョブを通常どおりに実行します。暗号化キーの管理AWS KMS を選択した場合は、出力にアクセスするユーザーまたはロールに kms:Decrypt 許可を与えることを忘れないでください。