Implémentation du chiffrement côté serveur - MediaConvert

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Implémentation du chiffrement côté serveur

Le chiffrement côté serveur avec Amazon S3 est l'une des options de chiffrement que vous pouvez utiliser avec AWS Elemental. MediaConvert

Vous pouvez protéger vos fichiers d'entrée et de sortie au repos en utilisant le chiffrement côté serveur avec Amazon S3 :

  • Pour protéger vos fichiers d'entrée, configurez le chiffrement côté serveur comme vous le feriez pour n'importe quel objet d'un compartiment Amazon S3. Pour plus d'informations, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le Guide de l'utilisateur Amazon Simple Storage Service.

  • Pour protéger vos fichiers de sortie, spécifiez dans votre MediaConvert tâche AWS Elemental qu'Amazon S3 chiffre vos fichiers de sortie lors de leur MediaConvert chargement. Par défaut, vos fichiers de sortie ne sont pas chiffrés. Le reste de cette rubrique livre des informations supplémentaires sur la façon de configurer une tâche pour qu'elle chiffre les fichiers de sortie.

Lorsque vous configurez la sortie d'une MediaConvert tâche AWS Elemental pour le chiffrement côté serveur, Amazon S3 la chiffre à l'aide d'une clé de données. En guise de mesure de sécurité supplémentaire, la clé de données elle-même est chiffrée avec une clé principale.

Vous choisissez si Amazon S3 chiffre la clé de données en utilisant la clé gérée par défaut ou une KMS clé gérée par AWS Key Management Service (AWS KMS). L'utilisation de la clé principale Amazon S3 par défaut est la plus simple à configurer. Si vous préférez avoir plus de contrôle sur votre clé, utilisez une AWS KMS touche. Pour plus d'informations sur les différents types de KMS clés gérés avec AWS KMS, voir Qu'est-ce que c'est AWS Key Management Service ? dans le Guide AWS Key Management Service du développeur.

Si vous choisissez d'utiliser une AWS KMS clé, vous pouvez spécifier une clé gérée par le client dans votre AWS compte. Sinon, AWS KMS utilise la clé AWS gérée pour Amazon S3, qui possède l'aliasaws/s3.

Pour configurer les sorties de votre tâche pour le chiffrement côté serveur

  1. Ouvrez la MediaConvert console à l'adresse https://console.aws.amazon.com/mediaconvert.

  2. Choisissez Créer une tâche.

  3. Configurez votre entrée, vos groupes de sorties et vos sorties vidéo et audio comme décrit dans Tutoriel : Configuration des paramètres des tâches et Création de sorties.

  4. Pour chaque groupe de sorties qui contient des sorties que vous voulez chiffrer, configurez le chiffrement côté serveur :

    1. Dans le volet Job (Tâche) à gauche, choisissez le groupe de sorties.

    2. Dans la section des paramètres du groupe sur la droite, choisissez Chiffrement côté serveur. Si vous utilisez le API ou anSDK, vous trouverez ce paramètre dans le JSON fichier de votre tâche. Le nom du paramètre estS3EncryptionSettings.

    3. Pour la gestion des clés de chiffrement, choisissez le AWS service qui protège votre clé de données. Si vous utilisez le API ou anSDK, vous trouverez ce paramètre dans le JSON fichier de votre tâche. Le nom du paramètre estS3ServerSideEncryptionType.

      Si vous choisissez Amazon S3, Amazon S3 chiffre votre clé de données à l'aide d'une clé gérée par le client qu'Amazon S3 stocke en toute sécurité. Si vous le souhaitez AWS KMS, Amazon S3 chiffre votre clé de données avec une KMS clé qui AWS Key Management Service (AWS KMS) stocke et gère.

    4. Si vous l'avez choisi AWS KMSà l'étape précédente, spécifiez éventuellement l'un ARN de vos What is AWS Key Management Service ? . Si c'est le cas, AWS KMS nous utiliserons cette KMS clé pour chiffrer la clé de données qu'Amazon S3 utilise pour chiffrer vos fichiers multimédia.

      Si vous ne spécifiez pas de clé pour AWS KMS, Amazon S3 utilise la cléAWS gérée de votre AWS compte qui est utilisée exclusivement pour Amazon S3.

    5. Si vous avez choisi AWS KMSla gestion des clés de chiffrement, accordez kms:Encrypt kms:GenerateDataKey et autorisez votre rôle AWS Elemental MediaConvert AWS Identity and Access Management (IAM). Cela permet MediaConvert de chiffrer vos fichiers de sortie. Si vous souhaitez également pouvoir utiliser ces sorties comme entrées pour une autre MediaConvert tâche, accordez également kms:Decrypt des autorisations. Pour en savoir plus, consultez ces rubriques :

      • Pour plus d'informations sur la configuration d'un IAM rôle MediaConvert à assumer par AWS Elemental, consultez Configuration des IAM autorisations le chapitre Getting Started de ce guide.

      • Pour plus d'informations sur l'octroi d'IAMautorisations à l'aide d'une politique intégrée, consultez la procédure Pour intégrer une politique intégrée pour un utilisateur ou un rôle dans la section Ajout d'autorisations d'IAMidentité (console) du guide de l'IAMutilisateur.

      • Pour des exemples de IAM politiques qui accordent des AWS KMS autorisations, y compris le déchiffrement de contenu crypté, consultez les exemples de politiques gérées par le client dans le guide du AWS Key Management Service développeur.

  5. Exécutez votre MediaConvert tâche AWS Elemental comme d'habitude. Si vous avez opté AWS KMSpour la gestion des clés de chiffrement, n'oubliez pas d'accorder des kms:Decrypt autorisations à tous les utilisateurs ou rôles auxquels vous souhaitez accéder à vos sorties.