Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey

Conceder permissões MediaConvert para acessar buckets criptografados do Amazon S3

Quando você habilita a criptografia padrão do Amazon S3, o Amazon S3 automaticamente criptografa seus objetos ao carregá-los. Opcionalmente, você pode escolher usar AWS Key Management Service (AWS KMS) para gerenciar a chave. Isso é chamado SSE de KMS criptografia.

Se você ativar SSE a criptografia KMS padrão nos buckets que contêm seus arquivos de MediaConvert entrada ou saída do AWS Elemental, deverá adicionar políticas embutidas à sua IAM função de serviço. Se você não adicionar políticas em linha, não MediaConvert conseguirá ler seus arquivos de entrada nem gravar seus arquivos de saída.

Conceda essas permissões nos seguintes casos de uso:

Se seu bucket de entrada tiver SSE - criptografia KMS padrão, concedakms:Decrypt.
Se seu bucket de saída tiver SSE - criptografia KMS padrão, concedakms:GenerateDataKey.

No exemplo a seguir a política em linha concede ambas as permissões.

Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey

Essa política concede permissões para kms:Decrypt e kms:GenerateDataKey.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criando uma função em IAM

Conceitos básicos