MediaConvert が暗号化された Amazon S3 バケットにアクセスする許可を付与する - MediaConvert
を使用したインラインポリシーの例 kms:Decrypt また、kms:GenerateDataKey

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

MediaConvert が暗号化された Amazon S3 バケットにアクセスする許可を付与する

Amazon S3 のデフォルトの暗号化を有効にすると、Amazon S3 はオブジェクトをアップロード時に自動的に暗号化します。オプションで、 AWS Key Management Service (AWS KMS) を使用してキーを管理できます。これは SSE-KMS 暗号化と呼ばれます。

AWS Elemental MediaConvert の入力ファイルまたは出力ファイルを保持するバケットで SSE-KMS デフォルトの暗号化を有効にする場合は、IAMサービスロールにインラインポリシーを追加する必要があります。インラインポリシーを追加しない場合、入力ファイルを読み取ったり、出力ファイルを書き込んだり MediaConvert することはできません。

以下のユースケースでこれらのアクセス許可を付与します。

  • 入力バケットに SSE-KMS デフォルトの暗号化がある場合は、 を付与しますkms:Decrypt

  • 出力バケットに SSE-KMS のデフォルトの暗号化がある場合は、 を付与しますkms:GenerateDataKey

このインラインポリシーの例では、両方のアクセス許可を付与します。

を使用したインラインポリシーの例 kms:Decrypt また、kms:GenerateDataKey

このポリシーでは kms:Decryptkms:GenerateDataKey の両方にアクセス許可を付与します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}