Options de chiffrement des données - Amazon Elastic Transcoder
Options de chiffrementUtilisation de KMS

Réduisez les coûts et bénéficiez de davantage de fonctionnalités avec AWS Elemental MediaConvert

MediaConvert est un nouveau service de transcodage vidéo basé sur des fichiers qui fournit une suite complète de fonctionnalités de transcodage avancées, avec des tarifs à la demande à partir de 0,0075 $/minute. En savoir plus

Vous utilisez déjà Amazon Elastic Transcoder ? La migration vers cette solution est simple MediaConvert. Pour plus d'informations, consultez cette présentation qui inclut des informations précieuses sur le processus de migration et des liens vers des ressources supplémentaires.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options de chiffrement des données

Vous pouvez protéger vos données Elastic Transcoder en chiffrant tous les fichiers d'entrée et de sortie que vous souhaitez utiliser pour une tâche de transcodage pendant que les fichiers sont stockés, ou au repos, sur Amazon S3. Il s'agit du fichier d'entrée, du fichier de sortie et de toutes les miniatures, les sous-titres, les filigranes d'entrée ou les pochettes d'album d'entrée. Les listes de lecture et les métadonnées ne sont pas chiffrées.

Toutes les ressources nécessaires à une tâche, y compris le pipeline, les compartiments Amazon S3 et la AWS Key Management Service clé, doivent se trouver dans la même AWS région.

Rubriques

Options de chiffrement

Elastic Transcoder prend en charge deux options de chiffrement principales :

  • Chiffrement côté serveur Amazon S3 : AWS gère le processus de chiffrement pour vous. Par exemple, Elastic Transcoder appelle Amazon S3, et Amazon S3 chiffre vos données, les enregistre sur des disques dans des centres de données et les déchiffre lorsque vous les téléchargez.

    Par défaut, les compartiments Amazon S3 acceptent les fichiers chiffrés et non chiffrés, mais vous pouvez configurer votre compartiment Amazon S3 pour qu'il n'accepte que les fichiers chiffrés. Il n'est pas nécessaire de modifier les autorisations tant qu'Elastic Transcoder a accès à votre compartiment Amazon S3.

    Pour plus d'informations sur le chiffrement côté serveur Amazon S3, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le guide de l'utilisateur d'Amazon Simple Storage Service. Pour plus d'informations sur les clés AWS KMS, consultez Qu'est-ce que l'AWS Key Management Service ? dans le Guide AWS Key Management Service du développeur.

    Note

    Il y a des frais supplémentaires pour l'utilisation de clés AWS-KMS. Pour plus d'informations, consultez Tarification d'AWS Key Management Service.

  • Chiffrement côté client à l'aide de clés fournies par le client : Elastic Transcoder peut également utiliser une clé de chiffrement fournie par le client pour déchiffrer les fichiers d'entrée (que vous avez déjà chiffrés vous-même) ou chiffrer vos fichiers de sortie avant de les stocker dans Amazon S3. Dans ce cas, vous gérez les clés de chiffrement et les outils associés.

    Si vous souhaitez qu'Elastic Transcoder transcode un fichier à l'aide de clés fournies par le client, votre demande de travail doit inclure la clé AWS KMS cryptée que vous avez utilisée pour chiffrer le fichier, le MD5 de la clé qui sera utilisée comme somme de contrôle et le vecteur d'initialisation (ou série de bits aléatoires créée par un générateur de bits aléatoires) que vous souhaitez qu'Elastic Transcoder utilise pour chiffrer vos fichiers de sortie.

    Elastic Transcoder ne peut utiliser que les clés fournies par le client qui sont chiffrées à l'aide d'une clé AWS KMS KMS, et Elastic Transcoder doit être autorisé à utiliser la clé KMS. Pour chiffrer votre clé, vous devez appeler par programmation AWS KMS via un appel de chiffrement qui contient les informations suivantes : 

    {
    "EncryptionContext": {
        "service" : "elastictranscoder.amazonaws.com"
    },
    "KeyId": "The ARN of the key associated with your pipeline",
    "Plaintext": blob that is your AES key
}
    Important

    Comme vos clés de chiffrement privées et vos données non chiffrées ne sont jamais stockées par AWS, il est important que vous puissiez gérer en toute sécurité vos clés de chiffrement. Si vous les perdez, vous ne pourrez pas lire vos données.

    Pour autoriser Elastic Transcoder à utiliser votre clé, consultez. Utilisation AWS KMS avec Elastic Transcoder

    Pour plus d'informations sur le chiffrement de données, consultez la Référence d'API AWS KMS et Chiffrement et déchiffrement de données. Pour plus d'informations sur les contextes, voir Contexte de chiffrement dans le Guide du AWS Key Management Service développeur.

    Pour plus d'informations sur les clés fournies par le client, consultez la section Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement fournies par le client dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour plus d'informations sur les paramètres requis lors du déchiffrement et du chiffrement de fichiers à l'aide de la console Elastic Transcoder, consultez. (Optional) Output Encryption Pour plus d'informations sur les paramètres requis lors du déchiffrement et du chiffrement de fichiers à l'aide de l'API Elastic Transcoder, consultez l'action d'API commençant par l'Créer une tâcheélément Encryption.

Utilisation AWS KMS avec Elastic Transcoder

Vous pouvez utiliser le AWS Key Management Service (AWS KMS) avec Elastic Transcoder pour créer et gérer les clés de chiffrement utilisées pour chiffrer vos données. Avant de configurer Elastic Transcoder pour l'utiliserAWS KMS, vous devez disposer des éléments suivants :

  • Pipeline Elastic Transcoder

  • Rôle IAM associé au pipeline Elastic Transcoder

  • Clé AWS KMS

  • ARN de la clé AWS KMS

Les procédures ci-dessous montrent comment identifier vos ressources existantes ou en créer de nouvelles.

Préparation à l'emploi AWS KMS avec Elastic Transcoder

Pour créer un pipeline
Pour identifier le rôle IAM associé à votre pipeline

  1. Connectez-vous à la console Elastic Transcoder AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/elastictranscoder/.

  2. Dans le volet de navigation, cliquez sur Pipelines.

  3. Cliquez sur l'icône représentant une loupe en regard du nom de pipeline.

  4. Cliquez sur la section Autorisations pour la développer.

  5. Prenez note du rôle IAM. Si vous utilisez le rôle par défaut créé par Elastic Transcoder, le rôle est Elastic_Transcoder_Default_Role.

Pour créer une clé AWS KMS

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Suivez la procédure décrite dans Création de clés.

Pour identifier l'ARN d'une clé AWS KMS

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, cliquez sur Clés de chiffrement.

  3. Dans la liste déroulante Région, sélectionnez la région où se trouvent votre clé et votre pipeline.

  4. Cliquez sur la clé que vous souhaitez utiliser.

  5. Notez l'ARN.

Vous pouvez utiliser la console pour créer une clé AWS KMS, mais vous devez utiliser les API de chiffrement et de déchiffrement pour chiffrer ou déchiffrer des données avec une clé AWS KMS. Pour plus d'informations, consultez Chiffrement et déchiffrement de données.

Connecter Elastic Transcoder et AWS KMS

Une fois que vous avez votre pipeline, votre rôle IAM et votre AWS KMS clé, vous devez indiquer au pipeline la clé à utiliser et indiquer la clé quel rôle IAM peut l'utiliser.

Pour ajouter la clé AWS KMS à votre pipeline

  1. Ouvrez la console Elastic Transcoder à l'adresse https://console.aws.amazon.com/elastictranscoder/.

  2. Sélectionnez le pipeline avec lequel vous souhaitez utiliser la clé AWS KMS, puis cliquez sur Modifier.

  3. Cliquez sur la section Chiffrement pour la développer et, dans la section AWS KMS Key ARN, sélectionnez Personnalisé.

  4. Saisissez l'ARN de votre clé AWS KMS, puis cliquez sur Enregistrer.

Pour ajouter un rôle IAM à votre clé AWS KMS

Si vous n'avez pas créé votre AWS KMS clé avec le rôle IAM associé à votre pipeline, vous pouvez l'ajouter en suivant cette procédure :

  1. Ouvrez la console AWS KMS à l’adresse https://console.aws.amazon.com/kms.

  2. Dans la liste déroulante des régions, sélectionnez la région que vous avez choisie lorsque vous avez créé votre clé et votre pipeline.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Dans la section Customer managed keys (Clés gérées par le client) sur la droite, choisissez le nom de la clé que vous souhaitez utiliser.

  5. Dans la section Key users (Utilisateurs de clé) choisissez Add (Ajouter).

  6. Sur la page Add key users (Ajouter des utilisateurs de clé), recherchez le rôle associé à votre pipeline, sélectionnez-le dans les résultats, puis choisissez Add (Ajouter).

Vous pouvez désormais utiliser votre AWS KMS clé avec votre pipeline Elastic Transcoder.