Opções de criptografia de dados

Você pode proteger seus dados do Elastic Transcoder criptografando os arquivos de entrada e saída que deseja usar para um trabalho de transcodificação enquanto os arquivos estão armazenados ou em repouso no Amazon S3. Isso inclui o arquivo de entrada, o arquivo de saída e quaisquer miniaturas, legendas, marcas d'água de entrada ou arte do álbum de entrada. As listas de reprodução e os metadados não são criptografados.

Todos os recursos de um trabalho, incluindo o pipeline, buckets do Amazon S3 e a chave do AWS Key Management Service, devem estar na mesma região da AWS.

Tópicos

• Opções de criptografia
• Uso do AWS KMS com o Elastic Transcoder
• Proteção de conteúdo HLS
• Gerenciamento de direitos digitais

Opções de criptografia

O Elastic Transcoder oferece suporte a duas opções de criptografia principais:

• Criptografia do lado do servidor do Amazon S3: a AWS gerencia o processo de criptografia para você. Por exemplo, o Elastic Transcoder chama o Amazon S3, e o Amazon S3 criptografa seus dados, os salva em discos em datacenters e descriptografa os dados quando você faz download deles.

  Por padrão, os buckets do Amazon S3 aceitam arquivos criptografados e não criptografados, mas você pode configurar seu bucket do Amazon S3 para aceitar apenas arquivos criptografados. Desde que o Elastic Transcoder tenha acesso ao bucket do Amazon S3, não é necessário fazer alterações de permissão.

  Para obter mais informações sobre criptografia no lado do servidor do Amazon S3, consulte Proteger dados usando criptografia no lado do servidor no Guia do usuário do Amazon Simple Storage Service. Para obter mais informações sobre chaves do AWS KMS, consulte O que é o AWS Key Management Service? no Guia do desenvolvedor do AWS Key Management Service.

  nota

  Não há custos adicionais pelo uso de chaves do AWS-KMS. Para mais informações, consulte Definição de preço do AWS Key Management Service.

• Criptografia no lado do cliente usando chaves fornecidas pelo cliente: o Elastic Transcoder também pode usar uma chave de criptografia fornecida pelo cliente para descriptografar os arquivos de entrada (que você mesmo já criptografou) ou criptografar os arquivos de saída antes de armazená-los no Amazon S3. Nesse caso, você gerencia as chaves de criptografia e as ferramentas relacionadas.

  Se você desejar que o Elastic Transcoder transcodifique um arquivo usando chaves fornecidas pelo cliente, a solicitação de trabalho deverá incluir a chave criptografada pelo AWS KMS usada para criptografar o arquivo, o MD5 da chave que será usada como uma soma de verificação e o vetor de inicialização (ou série de bits aleatórios criados por um gerador de bits aleatórios) que o deve usar ao criptografar seus arquivos de saída.

  O Elastic Transcoder só pode usar chaves fornecidas pelo cliente que sejam criptografadas com uma chave do AWS KMS, e o Elastic Transcoder deve receber permissões para usar a chave do KMS. Para criptografar sua chave, você deve chamar o AWS KMS programaticamente com uma chamada de criptografia que contém as seguintes informações:

  {
      "EncryptionContext": {
          "service" : "elastictranscoder.amazonaws.com"
      },
      "KeyId": "The ARN of the key associated with your pipeline",
      "Plaintext": blob that is your AES key
  }

  Importante

  Suas chaves de criptografia privadas e seus dados não criptografados nunca são armazenados pela AWS; portanto, é importante gerenciar suas chaves de criptografia com segurança. Se perdê-las, você não poderá descriptografar os seus dados.

  Para conceder ao Elastic Transcoder permissão para usar sua chave, consulte Uso do AWS KMS com o Elastic Transcoder.

  Para obter mais informações sobre a criptografia de dados, consulte a Referência de API do AWS KMS e Criptografia e descriptografia de dados. Para obter mais informações sobre contextos, consulte Contexto de criptografia no Guia do desenvolvedor do AWS Key Management Service.

  Para obter mais informações sobre chaves fornecidas pelo cliente, consulte Proteção de dados usando criptografia no lado do servidor com chaves de criptografia fornecidas pelo cliente no Guia do usuário do Amazon Simple Storage Service.

Para obter informações sobre as configurações necessárias ao descriptografar e criptografar arquivos usando o console do Elastic Transcoder, consulte (Opcional) Output Encryption. Para obter informações sobre as configurações necessárias ao descriptografar e criptografar arquivos usando a API do Elastic Transcoder, consulte a ação da API Criar trabalho, começando com o elemento Criptografia.

Uso do AWS KMS com o Elastic Transcoder

Você pode usar o AWS Key Management Service (AWS KMS) com o Elastic Transcoder para criar e gerenciar as chaves de criptografia usadas para criptografar seus dados. Antes de configurar o Elastic Transcoder para usar o AWS KMS, você deve ter o seguinte:

• Elastic Transcoder

• A função do IAM associada ao pipeline do Elastic Transcoder

• AWS KMSChave do

• ARN da chave do AWS KMS

Os procedimentos a seguir mostram como identificar os recursos existentes ou criar novos.

Preparando-se para usar o AWS KMS com o Elastic Transcoder

Para criar um pipeline

• Siga as etapas em Criação de um pipeline no Elastic Transcoder.

Para identificar a função do IAM associada ao seu pipeline

1. Faça login no AWS Management Console e abra o console do Elastic Transcoder em https://console.aws.amazon.com/elastictranscoder/.

2. No painel de navegação, clique em Pipelines.

3. Clique no ícone de lupa ao lado do nome do pipeline.

4. Clique na seção Permissions para expandi-la.

5. Anote a função do IAM. Se você estiver usando a função padrão criada pelo Elastic Transcoder, a função será Elastic_Transcoder_Default_Role.

Para criar uma chave do AWS KMS

1. Abra o console IAM em https://console.aws.amazon.com/iam/.

2. Siga as etapas em Criação de chaves.

Para identificar o ARN de uma chave do AWS KMS

1. Abra o console IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, clique em Encryption Keys.

3. Na lista suspensa de região, selecione a região em que você quer que a chave e o pipeline estejam.

4. Clique na chave que você deseja usar.

5. Anote o ARN.

Você pode usar o console para criar uma chave do AWS KMS, mas deve usar as APIs de criptografia e descriptografia para criptografar ou descriptografar dados com uma chave do AWS KMS. Para obter mais informações, consulte Criptografia e descriptografia de dados.

Conexão do Elastic Transcoder e do AWS KMS

Assim que você tiver o pipeline, a função do IAM e a chave do AWS KMS, deverá informar ao pipeline qual chave usar e informar à chave qual função do IAM pode usá-la.

Para adicionar a chave do AWS KMS ao seu pipeline

1. Abra o console do Elastic Transcoder em https://console.aws.amazon.com/elastictranscoder/.

2. Selecione o pipeline com o qual você deseja usar a chave do AWS KMS e clique em Edit.

3. Clique na seção Encryption para expandi-la e, na seção AWS KMS Key ARN, selecione Custom.

4. Digite o ARN da sua chave do AWS KMS e clique em Save.

Para adicionar uma função do IAM à sua chave do AWS KMS

Se você não tiver criado sua chave do AWS KMS com a função do IAM associada ao pipeline, poderá adicioná-la seguindo este procedimento:

1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

2. Na lista suspensa Region (Região), selecione a região escolhida ao criar a chave e o pipeline.

3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

4. Na seção Customer managed keys (Chaves gerenciadas pelo cliente) à direita, escolha o nome da chave que você deseja usar.

5. Na seção Key users (Usuários da chave), selecione Add (Adicionar).

6. Na página Add key users (Adicionar usuários da chave), procure a função associada ao pipeline, escolha-a nos resultados e selecione Add (Adicionar).

Agora você pode usar sua chave do AWS KMS com seu pipeline do Elastic Transcoder.