サーバー側の暗号化の実装 - MediaConvert

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバー側の暗号化の実装

Amazon S3 によるサーバー側の暗号化は、AWS Elemental で使用できる暗号化オプションの 1 つです MediaConvert。

Amazon S3 でサーバー側の暗号化を使用することで、保管時の入力および出力ファイルを保護できます。

  • 入力ファイルを保護するには、Amazon S3 バケット内のオブジェクトと同様にサーバー側の暗号化を設定します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。

  • 出力ファイルを保護するには、AWS Elemental MediaConvert ジョブでAmazon S3 がアップロード時に出力ファイルを暗号化 MediaConvert するように を指定します。デフォルトでは、出力ファイルは暗号化されません。このトピックの残りの部分では、出力ファイルを暗号化するためのジョブの設定について詳しく説明します。

サーバー側の暗号化用に AWS Elemental MediaConvert ジョブ出力を設定すると、Amazon S3 はデータキーで暗号化します。追加のセキュリティ対策として、データキー自体がマスターキーで暗号化されます。

Amazon S3 がデフォルトの Amazon S3 マネージドキーまたは AWS Key Management Service () によって管理される KMS キーを使用してデータキーを暗号化するかどうかを選択しますAWS KMS。デフォルトの Amazon S3 マスターキーの使用は、最も簡単にセットアップできます。キーをより細かく制御したい場合は、 AWS KMSキーを使用します。で管理されるさまざまなタイプの KMS キーの詳細については AWS KMS、「 AWS Key Management Service デベロッパーガイド」の「 とは AWS Key Management Service」を参照してください。

AWS KMS キーを使用する場合は、アカウント AWS でカスタマーマネージドキーを指定できます。それ以外の場合は、エイリアス を持つ Amazon S3 の AWS マネージドキー AWS KMS を使用しますaws/s3

サーバー側の暗号化用にジョブの出力を設定するには

  1. https://console.aws.amazon.com/mediaconvert で MediaConvert コンソールを開きます。

  2. [Create job (ジョブを作成)] を選択します。

  3. ビデオとオーディオの入力、出力グループ、および出力を設定します。方法については、「MediaConvert でのジョブの設定」と「出力の作成する」を参照してください。

  4. 暗号化する出力がある出力グループごとに、サーバー側の暗号化を設定します。

    1. 左側の [Job (ジョブ)] ペインで、出力グループを選択します。

    2. 右側のグループ設定セクションで、[Server-side encryption (サーバー側の暗号化)] を選択します。API または SDK を使用する場合は、この設定はジョブの JSON ファイルにあります。設定名は S3EncryptionSettings です。

    3. 暗号化キー管理 で、データキーを保護する AWS サービスを選択します。API または SDK を使用する場合は、この設定はジョブの JSON ファイルにあります。設定名は S3ServerSideEncryptionType です。

      [Amazon S3] を選択した場合は、Amazon S3 は、Amazon S3 が保管しているカスタマー管理のキーを使用してデータキーを暗号化します。AWS KMS を選択した場合、Amazon S3 は AWS Key Management Service (AWS KMS) が保管して管理している KMS をキー使用してデータキーを暗号化します。

    4. 前のステップで AWS KMS を選択した場合、オプションで [ AWS Key Management Serviceとは?] の 1 つで ARN を指定します。その場合、 はその KMS キー AWS KMS を使用してAmazon S3がメディアファイルの暗号化に使用するデータキーを暗号化します。

      AWS KMS のキーを指定しない場合は、Amazon S3 は Amazon S3 に独占的に使用される AWS アカウントの AWS 管理キーを使用します。

    5. 暗号化キー管理AWS KMSに を選択した場合は、AWS Elemental MediaConvert AWS Identity and Access Management (IAM) ロールに kms:Encryptおよび アクセスkms:GenerateDataKey許可を付与します。 これにより、 MediaConvert は出力ファイルを暗号化できます。また、これらの出力を別の MediaConvert ジョブへの入力として使用できるようにする場合は、アクセスkms:Decrypt許可も付与します。詳細については、以下のトピックを参照してください。

      • AWS Elemental が引き受け MediaConvert る IAM ロールの設定の詳細については、このガイドIAM アクセス許可のセットアップ の開始方法の章の「」を参照してください。

      • インラインポリシーを使用した IAM 権限の付与の詳細については、「IAM User Guide」 (IAMユーザーガイド) の「Adding IAM identity permissions (Console)」 (IAM アイデンティティ権限の追加 (コンソール)) の「To embed an inline policy for a user or role」 (ユーザーまたはロールにインラインポリシーを埋め込むには) の手順を参照してください。

      • 暗号化されたコンテンツの復号化など、 AWS KMS アクセス許可を付与する IAM ポリシーの例については、「 AWS Key Management Service デベロッパーガイド」の「カスタマー管理ポリシーの例」を参照してください。

  5. AWS Elemental MediaConvert ジョブを通常どおりに実行します。暗号化キーの管理AWS KMS を選択した場合は、出力にアクセスするユーザーまたはロールに kms:Decrypt 許可を与えることを忘れないでください。