Implementación del cifrado de servidor

El cifrado de servidor con Amazon S3 es una de las tres opciones de cifrado que puedes utilizar con AWS Elemental MediaConvert.

Puedes proteger tus archivos de entrada y salida en reposo mediante el cifrado de servidor con Amazon S3:

Para proteger tus archivos de entrada, configura el cifrado de servidor como lo haría para cualquier objeto en un bucket de Amazon S3. Para obtener más información, consulta Protección de los datos con el cifrado de servidor en la Guía del usuario de Amazon Simple Storage Service.
Para proteger los archivos de salida, especifica en tu tarea de AWS Elemental MediaConvert que Amazon S3 debes cifrar los archivos de salida a medida que MediaConvert los carga. De forma predeterminada, los archivos de salida no están cifrados. El resto de este tema proporciona más información acerca de cómo configurar tu tarea para cifrar los archivos de salida.

Al configurar una salida de tarea de AWS Elemental MediaConvert para el cifrado de servidor, Amazon S3 lo cifra con una clave de datos. Como medida de seguridad adicional, la propia clave de datos se cifra con una clave maestra.

Puedes elegir si Amazon S3 cifra la clave de datos mediante la clave administrada por S3 predeterminada o mediante una clave KMS administrada por AWS Key Management Service (AWS KMS). Es más sencillo configurar el uso de la clave maestra de S3 predeterminada. Si prefiere tener más control sobre su clave maestra, utiliza una clave AWS KMS. Para más información sobre los distintos tipos de claves KMS administradas con AWS KMS, consulta ¿Qué es AWS Key Management Service? en la Guía del desarrollador de AWS Key Management Service.

Si decide utilizar una clave AWS KMS, puedes especificar una clave administrada por el cliente en su cuenta de AWS. De lo contrario, AWS KMS utiliza la clave administrada por AWS para Amazon S3, que tiene el alias aws/s3.

Para configurar las salidas del tarea para el cifrado de servidor

Abra la consola de MediaConvert en https://console.aws.amazon.com/mediaconvert.
Seleccione Crear tarea.
Configure la entrada, los grupos de salidas y las salidas para video y audio, tal como se describe en Tutorial: Configuración de los ajustes del tarea y Creación de salidas.
Para cada grupo de salida que tenga salidas que quieres cifrar, configura el cifrado de servidor:
1. En el panel de Trabajo de la izquierda, elige el grupo de salidas.
2. En la sección de configuración de grupos de la derecha, seleccione Cifrado de servidor. Si utiliza la API o un SDK, encontrará esta configuración en el archivo JSON de tu tarea. El nombre de la configuración es S3EncryptionSettings.
3. En Administración de clave cifrada, elige el servicio de AWS que protege su clave de datos. Si utiliza la API o un SDK, encontrará esta configuración en el archivo JSON de tu tarea. El nombre de la configuración es S3ServerSideEncryptionType.
  
  Si eliges Amazon S3, Amazon S3 cifra la clave de datos con una clave administrada por el cliente que Amazon S3 almacena de forma segura. Si eliges AWS KMS, Amazon S3 cifra la clave de datos con una clave KMS que AWS Key Management Service (AWS KMS) almacena y administra.
4. Si seleccionaste AWS KMS en el paso anterior, tienes la opción de especificar el ARN de uno de ¿Qué es AWS Key Management Service?. Si lo haces, AWS KMS utilizará esa clave KMS para cifrar la clave de datos que Amazon S3 utiliza para cifrar tus archivos multimedia.
  
  Si no especificas una clave para AWS KMS, Amazon S3 utiliza la clave administrada por AWS en su cuenta de AWS que se utiliza exclusivamente para Amazon S3.
5. Si eligess AWS KMS para Administración de clave cifrada, conceda los permisos de kms:Encrypt y kms:GenerateDataKey a su rol de AWS Elemental MediaConvert AWS Identity and Access Management (IAM). Esto permite a MediaConvert cifrar los archivos de salida. Si también quieres poder utilizar estas salidas como entradas a otro tarea de MediaConvert, conceda también permisos de kms:Decrypt. Para obtener más información, consulta estos temas:
  - Para obtener más información acerca de cómo configurar un rol de IAM que AWS Elemental MediaConvert asumirá, consulta Configuración de permisos de IAM en el capítulo de introducción de esta guía.
  - Para más información sobre cómo conceder permisos de IAM mediante una política insertada, consulta el procedimiento Para integrar una política insertada de un usuario o un rol en Añadir permisos de identidad de IAM (consola) en la Guía del usuario de IAM.
  - Para ver ejemplos de políticas de IAM que conceden permisos de AWS KMS, lo que incluye descifrar contenido cifrado, consulta Ejemplos de políticas administradas por el cliente en la Guía del desarrollador de AWS Key Management Service.
Ejecuta tu tarea de AWS Elemental MediaConvert como de costumbre. Si eliges AWS KMS para Administración de clave cifrada, recuerde conceder permisos de kms:Decrypt a todos los usuarios o roles que quieres que tengan acceso a las salidas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cifrado y DRM

administración de derechos digitales (DRM)