啟用 Amazon S3 儲存貯體的伺服器端加密 - Amazon Chime SDK
使用 Amazon S3 受管金鑰使用您擁有的金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Amazon S3 儲存貯體的伺服器端加密

若要為 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體啟用伺服器端加密,您可以使用以下類型的加密金鑰:

  • Amazon S3 受管金鑰

  • 金鑰管理服務 (KMS) 中的客戶管理金 AWS 鑰

    注意

    金鑰管理服務支援兩種類型的金鑰:客戶管理金鑰和 AWS 受管理金鑰。Amazon Chime SDK 會議僅支援客戶受管金鑰。

使用 Amazon S3 受管金鑰

您可以使用 Amazon S3 主控台、CLI 或 REST API 為 Amazon S3 儲存貯體啟用伺服器端加密。在這兩種情況下,請選擇 Amazon S3 金鑰做為加密金鑰類型。不需要採取進一步的行動。當您使用儲存貯體進行媒體擷取時,會在伺服器端上傳並加密成品。如需詳細資訊,請參閱 Amazon S3 使用者指南中的指定 Amazon S3 加密

使用您擁有的金鑰

若要使用您管理的金鑰啟用加密,您需要使用客戶受管金鑰啟用 Amazon S3 儲存貯體的伺服器端加密,然後在金鑰政策中新增陳述式,讓 Amazon Chime 使用金鑰並加密任何上傳的成品。

  1. 在 KMS 中建立客戶受管金鑰。如需這樣做的相關資訊,請參閱 Amazon S3 使用者指南中的指定伺服器端加密 AWS KMS (SSE-KMS)

  2. 在金鑰政策中新增陳述式,mediapipelines.chime.amazonaws.com以便GenerateDataKey動作產生供 Amazon Chime SDK 服務主體使用的金鑰。

    這個例子顯示了一個典型的語句。

    ...
{
    "Sid": "MediaPipelineSSEKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
           "aws:SourceAccount": "Account_Id"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
        }
    }
}
...

  3. 如果您使用媒體串連管道,請在允許 Amazon Chime SDK 服務主體使用動作的金鑰政策中新增陳述式kms:Decryptmediapipelines.chime.amazonaws.com

  4. 設定 Amazon S3 儲存貯體以使用金鑰啟用伺服器端加密。