使用加密內容 - Amazon Chime SDK
使用加密內容來控制對金鑰的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用加密內容

加密內容是一組選用的金鑰值對,其中包含有關資料的其他內容資訊。 AWS KMS 使用加密內容來支援已驗證的加密。

當您在加密請求中包含加密內容時, AWS KMS 會將加密內容繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。

語音分析在所有 AWS KMS 密碼編譯操作中使用相同的加密內容,其中 金鑰為 ,aws:chime:voice-profile-domain:arn而 值為 資源 Amazon Resource Name (ARN)。

下列範例顯示典型的加密內容。

"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
}

您也可以在稽核記錄和記錄中使用加密內容,以識別客戶受管金鑰的使用方式。加密內容也會出現在 CloudTrail 或 CloudWatch Logs 產生的日誌中。

使用加密內容來控制對金鑰的存取

您也可以在金鑰政策和 IAM 政策中,使用加密內容來控制對對稱客戶受管金鑰的存取。您也可以在授予中使用加密內容條件。

語音分析在授予中使用加密內容限制條件,以控制對帳戶或區域中客戶受管金鑰的存取。授予條件會要求授予允許的操作使用指定的加密內容。

下列範例金鑰政策陳述式會授予特定加密內容的客戶受管金鑰存取權。政策陳述式中的條件要求授予具有指定加密內容的加密內容限制條件。

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
        }
    }
}