翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Simple Storage Service (Amazon S3) バケットのサーバー側の暗号化を有効にするには、以下のタイプの暗号化キーを使用します。
-
Amazon S3 マネージドキー
-
Key Management Service (KMS) のカスタマーマネージド AWS キー
注記
Key Management Service は、カスタマーマネージドキーと AWS マネージドキーの 2 種類のキーをサポートしています。Amazon Chime SDK ミーティングは、カスタマーマネージドキーのみをサポートしています。
Amazon S3 マネージドキーを使用する
Amazon S3 コンソール、CLI、REST API を使用して、Amazon S3 バケットのサーバー側の暗号化を有効にします。いずれの場合でも、暗号化キータイプとして Amazon S3 キーを選択します。これ以上の操作は不要です。バケットをメディアキャプチャに使用すると、アーティファクトがサーバー側でアップロードおよび暗号化されます。詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 の暗号化の指定」をご参照ください。
所有しているキーを使用する
管理するキーによる暗号化を有効にするには、カスタマーマネージドキーによる Amazon S3 バケットのサーバー側の暗号化を有効にしてから、Amazon Chime がキーを使用し、アップロードされたアーティファクトを暗号化できるようにするステートメントをキーポリシーに追加する必要があります。
-
KMS でカスタマーマネージドキーを作成します。詳細については、Amazon S3S3 ユーザーガイド」の AWS KMS 「 (SSE-KMS) によるサーバー側の暗号化の指定」を参照してください。
-
GenerateDataKeyアクションを実行し、Amazon Chime SDK サービスプリンシパルであるmediapipelines.chime.amazonaws.comで使用するキーの生成を可能にするステートメントをキーポリシーに追加します。この例は、典型的なステートメントを示しています。
... { "Sid": "MediaPipelineSSEKMS", "Effect": "Allow", "Principal": { "Service": "mediapipelines.chime.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "Account_Id" }, "ArnLike": { "aws:SourceArn": "arn:aws:chime:*:Account_Id:*" } } } ... -
メディア連結パイプラインを使用する場合は、Amazon Chime SDK サービスプリンシパルである
mediapipelines.chime.amazonaws.comにkms:Decryptアクションの使用を許可するステートメントをキーポリシーに追加します。 -
キーによるサーバー側の暗号化を有効にするように Amazon S3 バケットを設定します。
