Verschlüsselungsoptionen für Daten - Amazon Elastic Transcoder
VerschlüsselungsoptionenVerwenden von KMS

Sparen Sie Kosten und erhalten Sie mehr Funktionen mit AWS Elemental MediaConvert

MediaConvert ist ein neuerer dateibasierter Videotranskodierungsdienst, der eine umfassende Suite erweiterter Transcodierungsfunktionen bietet. On-Demand-Tarife beginnen bei 0,0075 USD/Minute. Lesen Sie mehr.

Verwenden Sie bereits Amazon Elastic Transcoder? Die Migration darauf ist einfach. MediaConvert Weitere Informationen finden Sie in dieser Übersicht, die wertvolle Informationen über den Migrationsprozess und Links zu weiteren Ressourcen enthält.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungsoptionen für Daten

Sie können Ihre Elastic-Transcoder-Daten schützen, indem Sie alle Eingabe- und Ausgabedateien verschlüsseln, die Sie für einen Transcodierungsauftrag verwenden möchten, während die Dateien in Amazon S3 gespeichert sind oder im Ruhezustand sind. Hierzu gehören Ein- und Ausgabedateien, Thumbnails, Untertitel, Eingabe-Wasserzeichen oder Eingabe-Albumcover. Wiedergabelisten und Metadaten sind nicht verschlüsselt.

Alle Ressourcen für einen Auftrag – einschließlich Pipeline, Amazon S3-Buckets und AWS Key Management Service Schlüssel – sollten sich in derselben AWS Region befinden.

Themen

Verschlüsselungsoptionen

Elastic Transcoder unterstützt zwei Hauptverschlüsselungsoptionen:

  • Serverseitige Amazon S3-Verschlüsselung: AWS verwaltet den Verschlüsselungsprozess für Sie. Beispielsweise ruft Elastic Transcoder Amazon S3 auf und Amazon S3 verschlüsselt Ihre Daten, speichert sie auf Datenträgern in Rechenzentren und entschlüsselt die Daten, wenn Sie sie herunterladen.

    Standardmäßig akzeptieren Amazon S3-Buckets sowohl verschlüsselte als auch unverschlüsselte Dateien. Sie können Ihren Amazon S3-Bucket jedoch so einrichten, dass nur verschlüsselte Dateien akzeptiert werden. Sie müssen keine Berechtigungsänderungen vornehmen, solange Elastic Transcoder Zugriff auf Ihren Amazon S3-Bucket hat.

    Weitere Informationen zur serverseitigen Amazon S3-Verschlüsselung finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung im Benutzerhandbuch für Amazon Simple Storage Service. Weitere Informationen zu AWS KMS-Schlüsseln finden Sie unter Was ist der AWS Key Management Service? im Entwicklerhandbuch AWS Key Management Service für .

    Anmerkung

    Für die Nutzung von AWS-KMS-Schlüsseln fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS Key Management Service – Preise.

  • Clientseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln: Elastic Transcoder kann auch einen vom Client bereitgestellten Verschlüsselungsschlüssel verwenden, um Eingabedateien zu entschlüsseln (die Sie bereits selbst verschlüsselt haben) oder Ihre Ausgabedateien zu verschlüsseln, bevor Sie sie in Amazon S3 speichern. In diesem Fall verwalten Sie die Verschlüsselungsschlüssel und die ihnen zugeordneten Tools.

    Wenn Sie möchten, dass Elastic Transcoder eine Datei mit vom Client bereitgestellten Schlüsseln transcodiert, muss Ihre Auftragsanforderung den AWS KMS-verschlüsselten Schlüssel enthalten, mit dem Sie die Datei verschlüsselt haben, das MD5 des Schlüssels, der als Prüfsumme verwendet wird, und den Initialisierungsvektor (oder eine Reihe von zufälligen Bits, die von einem zufälligen Bitgenerator erstellt wurden), den Elastic Transcoder bei der Verschlüsselung Ihrer Ausgabedateien verwenden soll.

    Elastic Transcoder kann nur vom Kunden bereitgestellte Schlüssel verwenden, die mit einem AWS KMS -KMS-Schlüssel verschlüsselt sind, und Elastic Transcoder muss über Berechtigungen zur Verwendung des -KMS-Schlüssels verfügen. Um Ihren Schlüssel zu verschlüsseln, müssen Sie AWS KMS programmgesteuert mit einem Verschlüsselungsanruf, der die folgende Information enthält, aufrufen: 

    {
    "EncryptionContext": {
        "service" : "elastictranscoder.amazonaws.com"
    },
    "KeyId": "The ARN of the key associated with your pipeline",
    "Plaintext": blob that is your AES key
}
    Wichtig

    Ihre privaten Verschlüssleungsschlüssel und Ihre unverschlüsselten Daten werden nie durch AWS gespeichert. Deshalb ist es sehr wichtig, dass Sie Ihre Verschlüsselungsschlüssel sicher verwalten. Wenn die Schlüssel verloren gehen, können Sie Ihre Daten nicht mehr entschlüsseln.

    Informationen dazu, wie Sie Elastic Transcoder die Berechtigung zur Verwendung Ihres Schlüssels erteilen, finden Sie unter Verwenden von AWS KMS mit Elastic Transcoder.

    Weitere Informationen zur Verschlüsselung von Daten finden Sie unter AWS KMS-API-Referenz und Verschlüsseln und Entschlüsseln von Daten. Weitere Informationen zu Kontexten finden Sie unter Verschlüsselungskontext im AWS Key Management Service -Entwicklerhandbuch.

    Weitere Informationen zu vom Client bereitgestellten Schlüsseln finden Sie unter Schutz von Daten durch serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln im Benutzerhandbuch für Amazon Simple Storage Service.

Informationen zu den Einstellungen, die zum Entschlüsseln und Verschlüsseln von Dateien mit der Elastic-Transcoder-Konsole erforderlich sind, finden Sie unter (Optional) Ausgabeverschlüsselung. Informationen zu den Einstellungen, die zum Entschlüsseln und Verschlüsseln von Dateien mit der Elastic Transcoder-API erforderlich sind, finden Sie in der Erstellen von Aufträgen API-Aktion, die mit dem Verschlüsselungselement beginnt.

Verwenden von AWS KMS mit Elastic Transcoder

Sie können die AWS Key Management Service (AWS KMS) mit Elastic Transcoder verwenden, um die Verschlüsselungsschlüssel zu erstellen und zu verwalten, die zur Verschlüsselung Ihrer Daten verwendet werden. Bevor Sie Elastic Transcoder für die Verwendung von einrichten könnenAWS KMS, benötigen Sie Folgendes:

  • Elastic-Transcoder-Pipeline

  • IAM-Rolle, die der Elastic-Transcoder-Pipeline zugeordnet ist

  • AWS KMS-Schlüssel

  • ARN des AWS KMS-Schlüssels

Die folgenden Verfahren beschreiben, wie Sie Ihre vorhandenen Ressourcen identifizieren oder neue Ressourcen erstellen können.

Vorbereiten der Verwendung AWS KMS mit Elastic Transcoder

So erstellen Sie eine Pipeline
So identifizieren Sie die IAM-Rolle, die Ihrer Pipeline zugeordnet ist

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Elastic-Transcoder-Konsole unter https://console.aws.amazon.com/elastictranscoder/.

  2. Klicken Sie im Navigationsbereich auf Pipelines.

  3. Klicken Sie auf das Lupensymbol neben dem Pipeline-Namen.

  4. Klicken Sie auf den Bereich Permissions, um ihn zu erweitern.

  5. Notieren Sie sich die IAM-Rolle. Wenn Sie die von Elastic Transcoder erstellte Standardrolle verwenden, lautet die Rolle Elastic_Transcoder_Default_Role .

So erstellen Sie einen AWS KMS-Schlüssel

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Befolgen Sie die Schritte in Erstellen von Schlüsseln.

So identifizieren Sie den ARN eines AWS KMS-Schlüssels

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Encryption Keys.

  3. Wählen Sie in der Dropdown-Liste „Region“ die Region aus, in der sich Ihr Schlüssel und Ihre Pipeline befinden.

  4. Klicken Sie auf den Schlüssel, den Sie verwenden möchten.

  5. Notieren Sie den ARN.

Sie können die Konsole verwenden, um einen AWS KMS-Schlüssel zu erstellen. Sie müssen jedoch die Verschlüsselungs- und Entschlüsselungs-APIs verwenden, um Daten mit einem AWS KMS-Schlüssel zu verschlüsseln und zu entschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln und Entschlüsseln von Daten.

Verbinden von Elastic Transcoder und AWS KMS

Sobald Sie Ihre Pipeline, IAM-Rolle und Ihren AWS KMS Schlüssel haben, müssen Sie der Pipeline mitteilen, welcher Schlüssel verwendet werden soll, und dem Schlüssel mitteilen, welche IAM-Rolle sie verwenden kann.

So fügen Sie den AWS KMS-Schlüssel zu Ihrer Pipeline hinzu

  1. Öffnen Sie die Elastic-Transcoder-Konsole unter https://console.aws.amazon.com/elastictranscoder/.

  2. Wähle Sie die Pipeline, mit der Sie den AWS KMS-Schlüssel verwenden möchten und klicken Sie auf Bearbeiten.

  3. Klicken Sie auf den Bereich Encryption, um ihn zu erweitern und wählen Sie im Bereich AWS KMS Key ARN Custom.

  4. Geben Sie den ARN Ihres AWS KMS-Schlüssels an und klicken Sie auf Speichern.

So fügen Sie Ihrem AWS KMS Schlüssel eine IAM-Rolle hinzu

Wenn Sie Ihren AWS KMS Schlüssel nicht mit der Ihrer Pipeline zugeordneten IAM-Rolle erstellt haben, können Sie ihn hinzufügen, indem Sie das folgende Verfahren ausführen:

  1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.

  2. Wählen Sie in der Dropdown-Liste "Region" die Region aus, die Sie beim Erstellen Ihres Schlüssels und Ihrer Pipeline ausgewählt haben.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Wählen Sie rechts im Abschnitt Customer managed keys (Kundenverwaltete Schlüssel) den Namen des Schlüssels aus, den Sie verwenden möchten.

  5. Wählen Sie im Abschnitt Key users (Schlüsselbenutzer) die Option Add (Hinzufügen) aus.

  6. Suchen Sie auf der Seite Add key users (Schlüsselbenutzer hinzufügen) nach der Rolle, die Ihrer Pipeline zugeordnet ist, wählen Sie sie aus den Ergebnissen aus und klicken Sie auf Add (Hinzufügen).

Sie können Ihren AWS KMS Schlüssel jetzt mit Ihrer Elastic-Transcoder-Pipeline verwenden.