数据加密选项 - Amazon Elastic Transcoder
加密选项使用 KMS

通过以下方式节省成本并获得更多功能 AWS Elemental MediaConvert

MediaConvert 是一项较新的基于文件的视频转码服务,它提供了一套全面的高级转码功能,按需费率起价为每分钟 0.0075 美元。阅读更多

已经在使用 Amazon Elastic Transcoder? 迁移到很简单 MediaConvert。有关更多信息,请参阅本概述,其中包含有关迁移过程的重要信息以及指向其他资源的链接。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据加密选项

通过在 Elastic Transcoder 中存储文件时或静态时对要用于转码任务的任何输入和输出文件进行加密,可以保护 Amazon S3 数据。这包括输入文件、输出文件以及任何缩略图、字幕、输入水印或输入专辑封面。不会对播放列表和元数据进行加密。

任务的所有资源(包括管道、Amazon S3 存储桶和 AWS Key Management Service 密钥)都应位于相同的 AWS 区域中。

主题

加密选项

Elastic Transcoder 支持两种主要加密选项:

  • Amazon S3 服务器端加密:AWS 为您管理加密过程。例如,Elastic Transcoder 调用 Amazon S3,然后 Amazon S3 对您的数据进行加密,将其保存在数据中心的磁盘上,并在您下载时解密该数据。

    默认情况下,Amazon S3 存储桶接受加密文件和未加密文件,但您可以将 Amazon S3 存储桶设置为仅接受加密文件。只要 Elastic Transcoder 有权访问您的 Amazon S3 存储桶,您就无需更改权限。

    有关 Amazon S3 服务器端加密的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据。有关 AWS KMS 密钥的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的什么是 AWS Key Management Service?

    注意

    使用 AWS-KMS 密钥需要支付额外费用。有关更多信息,请参阅 AWS Key Management Service 定价

  • 使用客户提供的密钥进行客户端加密:Elastic Transcoder 还可以使用客户提供的加密密钥对您自行加密的输入文件进行解密,或在将输出文件存储到 Amazon S3 中之前对其进行加密。在本例中,您将管理加密密钥和相关工具。

    如果您想要 Elastic Transcoder 使用客户提供的密钥对文件进行转码,则您的任务请求必须包含用于加密该文件的 AWS KMS 加密密钥,将用作校验和的密钥的 MD5,以及供 Elastic Transcoder 在加密输出文件时使用的初始化向量(或由随机位生成器创建的随机位序列)。

    Elastic Transcoder 只能使用客户提供的通过AWS KMS KMS 密钥加密的密钥,并且 Elastic Transcoder 必须获得使用 KMS 密钥的权限。要加密密钥,您必须以编程方式使用包含以下信息的加密调用来调用 AWS KMS:

    {
    "EncryptionContext": {
        "service" : "elastictranscoder.amazonaws.com"
    },
    "KeyId": "The ARN of the key associated with your pipeline",
    "Plaintext": blob that is your AES key
}
    重要

    AWS 不会存储您的私有加密密钥和未加密的数据,因此请您务必妥善管理加密密钥。如果您丢失了加密密钥,将无法解密数据。

    要向 Elastic Transcoder 授予使用您的密钥的权限,请参阅 AWS KMS 与 Elastic Transcoder 搭配使用

    有关加密数据的更多信息,请参阅 AWS KMS API 参考加密和解密数据。有关上下文的更多信息,请参阅《AWS Key Management Service 开发人员指南》https://docs.aws.amazon.com/kms/latest/developerguide/encrypt-context.html中的加密上下文

    有关客户提供密钥的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的通过使用客户提供的加密密钥的服务器端加密保护数据

有关使用 Elastic Transcoder 控制台对文件进行解密和加密时所需的设置信息,请参阅 (可选)输出加密。有关使用 Elastic Transcoder API 加密和解密文件时所需设置的信息,请参阅以加密元素开头的 创建任务 API 操作。

AWS KMS 与 Elastic Transcoder 搭配使用

您可以使用 AWS Key Management Service (AWS KMS) 和 Elastic Transcoder 来创建和管理用于对数据进行加密的加密密钥。您必须先完成以下步骤,然后才能设置 Elastic Transcoder 以使用 AWS KMS:

  • Elastic Transcoder 管道

  • 与 Elastic Transcoder 管道关联的 IAM 角色

  • AWS KMS 密钥

  • AWS KMS 密钥的 ARN

以下过程演示如何识别您的现有资源或创建新资源。

使用 AWS KMS 与 Elastic Transcoder 做好使用准备

要创建管道
确定与您的管道相关联的 IAM 角色

  1. 登录 AWS Management Console,并通过以下网址打开 Elastic Transcoder 控制台:https://console.aws.amazon.com/elastictranscoder/

  2. 在导航窗格中,单击管道

  3. 单击管道名称旁边的放大镜图标。

  4. 单击权限部分以展开它。

  5. 记下 IAM 角色。如果您使用的是由 Elastic Transcoder 创建的默认角色,则该角色为 Elastic_Transcoder_Default_Role

要创建 AWS KMS 密钥

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 请按照创建密钥中的步骤操作。

确定 AWS KMS 密钥的 ARN

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,单击加密密钥

  3. 在区域下拉列表中,选择您的密钥和管道所在的区域。

  4. 单击要使用的密钥。

  5. 记下 ARN。

您可以使用控制台创建 AWS KMS 密钥,但必须使用加密和解密 API 用 AWS KMS 密钥对数据进行加密或解密。有关更多信息,请参阅加密和解密数据

连接 Elastic Transcoder 和 AWS KMS

获得管道、IAM 角色和 AWS KMS 密钥后,您必须告知管道要使用哪个密钥,并告知密钥哪个 IAM 角色可以使用它。

向您的管道添加 AWS KMS 密钥

  1. 通过以下网址打开 Elastic Transcoder 控制台:https://console.aws.amazon.com/elastictranscoder/

  2. 选择要使用 AWS KMS 密钥的管道,然后单击编辑

  3. 单击加密部分展开它,然后在 AWS KMS 密钥 ARN 部分选择自定义

  4. 键入您的 AWS KMS 密钥的 ARN,然后单击保存

向您的 AWS KMS 密钥添加 IAM 角色

如果您尚未使用与管道关联的 IAM 角色创建 AWS KMS 密钥,可以按照以下过程添加它:

  1. 访问 https://console.aws.amazon.com/kms,打开 AWS KMS 控制台。

  2. 在“区域”下拉列表中,选择您的密钥时选择的区域和您的管道。

  3. 在导航窗格中,选择客户托管密钥

  4. 在右侧的客户托管密钥部分中,选择您要使用的密钥的名称。

  5. 密钥用户部分中,选择添加

  6. 添加密钥用户页面上,搜索与您的管道关联的角色,然后从结果中选择该角色,再选择添加

现在,您可以将 AWS KMS 密钥与 Elastic Transcoder 管道一起使用了。