为 Amazon Chime SDK 媒体捕获管道的 Amazon S3 存储桶启用服务器端加密 - Amazon Chime SDK
使用 Amazon S3 托管密钥使用您拥有的密钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Chime SDK 媒体捕获管道的 Amazon S3 存储桶启用服务器端加密

要为 Amazon Simple Storage Service (Amazon S3) 存储桶启用服务器端加密,您可以使用以下类型的加密密钥:

  • Amazon S3 托管式密钥

  • 密钥管理服务 (KMS) 中的 AWS 客户托管密钥

    注意

    密钥管理服务支持两种类型的密钥,即客户托管密钥和 AWS 托管密钥。Amazon Chime SDK 会议仅支持客户托管密钥。

使用 Amazon S3 托管密钥

使用 Amazon S3 控制台、CLI 或 REST API 为 Amazon S3 存储桶启用服务器端加密。在这两种情况下,都选择 Amazon S3 密钥作为加密密钥类型。无需进一步操作。当您使用存储桶进行媒体捕获时,会在服务器端上传和加密工件。有关更多信息,请参阅 Amazon S3 用户指南中的指定 Amazon S3 加密

使用您拥有的密钥

要使用您管理的密钥启用加密,您需要使用客户托管密钥启用 Amazon S3 存储桶的服务器端加密,然后在密钥策略中添加一条声明,允许 Amazon Chime 使用该密钥并加密任何上传的项目。

  1. 在 KMS 中创建客户托管密钥。有关执行此操作的信息,请参阅 Amazon S3 用户指南中的使用 AWS KMS (SSE-KMS) 指定服务器端加密

  2. 在密钥政策中添加语句,允许该 GenerateDataKey 操作生成密钥由 Amazon Chime SDK 服务主体使用的密钥,mediapipelines.chime.amazonaws.com

    此示例显示一个典型语句。

    ...
{
    "Sid": "MediaPipelineSSEKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
           "aws:SourceAccount": "Account_Id"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
        }
    }
}
...

  3. 如果您使用媒体串联管道,在密钥政策中添加语句,允许 Amazon Chime SDK 服务主体 mediapipelines.chime.amazonaws.com 使用 kms:Decrypt 操作。

  4. 配置 Amazon S3 存储桶以启用使用密钥的服务器端加密。