啟用 Amazon S3 儲存貯體的伺服器端加密 - Amazon Chime SDK
使用 Amazon S3 受管金鑰使用您擁有的金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Amazon S3 儲存貯體的伺服器端加密

若要為 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用伺服器端加密,您可以使用下列類型的加密金鑰:

  • Amazon S3 受管金鑰

  • 金鑰管理服務 (KMS) 中的客戶受管 AWS 金鑰

    注意

    Key Management Service 支援兩種類型的金鑰:客戶受管金鑰和 AWS 受管金鑰。Amazon Chime SDK 會議僅支援客戶受管金鑰。

使用 Amazon S3 受管金鑰

您可以使用 Amazon S3 主控台、 CLI或 RESTAPI來啟用 Amazon S3 儲存貯體的伺服器端加密。在這兩種情況下,選擇 Amazon S3 金鑰作為加密金鑰類型。不需要進一步的動作。當您使用儲存貯體進行媒體擷取時,成品會在伺服器端上傳和加密。如需詳細資訊,請參閱 Amazon S3 使用者指南 中的指定 Amazon S3 加密Amazon S3

使用您擁有的金鑰

若要使用您管理的金鑰啟用加密,您需要使用客戶受管金鑰啟用 Amazon S3 儲存貯體的伺服器端加密,然後將陳述式新增至金鑰政策,讓 Amazon Chime 使用金鑰並加密任何上傳成品。

  1. 在 中建立客戶受管金鑰KMS。如需這麼做的相關資訊,請參閱 Amazon S3 使用者指南 中的使用 AWS KMS (SSE-KMS) 指定伺服器端加密

  2. 將陳述式新增至金鑰政策,允許 GenerateDataKey動作產生金鑰以供 Amazon Chime SDK服務主體 使用mediapipelines.chime.amazonaws.com

    此範例顯示典型的陳述式。

    ...
{
    "Sid": "MediaPipelineSSEKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
           "aws:SourceAccount": "Account_Id"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
        }
    }
}
...

  3. 如果您使用媒體串連管道,請將陳述式新增至金鑰政策,讓 Amazon Chime SDK服務主體 mediapipelines.chime.amazonaws.com可以使用 kms:Decrypt動作。

  4. 設定 Amazon S3 儲存貯體以使用 金鑰啟用伺服器端加密。