Esempio di politica in linea con kms:Decrypt e kms:GenerateDataKey

Concessione delle autorizzazioni per l'accesso MediaConvert a bucket Amazon S3 crittografati

Quando abiliti la crittografia predefinita di Amazon S3, Amazon S3 crittografa automaticamente i tuoi oggetti durante il caricamento. Facoltativamente, puoi scegliere di utilizzare AWS Key Management Service (AWS KMS) per gestire la chiave. Questa si chiama SSE KMS crittografia.

Se SSE abiliti la crittografia KMS predefinita sui bucket che contengono i file di MediaConvert input o output di AWS Elemental, devi aggiungere politiche in linea al tuo IAM ruolo di servizio. Se non aggiungete politiche in linea, non MediaConvert potete leggere i file di input o scrivere i file di output.

Concedi queste autorizzazioni nei seguenti casi d'uso:

Se il tuo bucket di input ha una SSE crittografia KMS predefinita, concedi. kms:Decrypt
Se il tuo bucket di output ha una SSE crittografia KMS predefinita, concedi. kms:GenerateDataKey

L'esempio seguente, la politica in linea concede entrambe le autorizzazioni.

Esempio di politica in linea con kms:Decrypt e kms:GenerateDataKey

Questa politica concede le autorizzazioni per entrambi e. kms:Decrypt kms:GenerateDataKey


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di un ruolo in IAM

Nozioni di base