本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要为 Amazon Simple Storage Service (Amazon S3) 存储桶启用服务器端加密,您可以使用以下类型的加密密钥:
-
Amazon S3 托管式密钥
-
密钥管理服务 (KMS) 中的 AWS 客户托管密钥
注意
密钥管理服务支持两种类型的密钥,即客户托管密钥和 AWS 托管密钥。Amazon Chime SDK 会议仅支持客户托管密钥。
使用 Amazon S3 托管密钥
使用 Amazon S3 控制台、CLI 或 REST API 为 Amazon S3 存储桶启用服务器端加密。在这两种情况下,都选择 Amazon S3 密钥作为加密密钥类型。无需进一步操作。当您使用存储桶进行媒体捕获时,会在服务器端上传和加密工件。有关更多信息,请参阅 Amazon S3 用户指南中的指定 Amazon S3 加密。
使用您拥有的密钥
要使用您管理的密钥启用加密,您需要使用客户托管密钥启用 Amazon S3 存储桶的服务器端加密,然后在密钥策略中添加一条声明,允许 Amazon Chime 使用该密钥并加密任何上传的项目。
-
在 KMS 中创建客户托管密钥。有关执行此操作的信息,请参阅 Amazon S3 用户指南中的使用 AWS KMS (SSE-KMS) 指定服务器端加密。
-
在密钥政策中添加语句,允许该
GenerateDataKey操作生成密钥由 Amazon Chime SDK 服务主体使用的密钥,mediapipelines.chime.amazonaws.com。此示例显示一个典型语句。
... { "Sid": "MediaPipelineSSEKMS", "Effect": "Allow", "Principal": { "Service": "mediapipelines.chime.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "Account_Id" }, "ArnLike": { "aws:SourceArn": "arn:aws:chime:*:Account_Id:*" } } } ... -
如果您使用媒体串联管道,在密钥政策中添加语句,允许 Amazon Chime SDK 服务主体
mediapipelines.chime.amazonaws.com使用kms:Decrypt操作。 -
配置 Amazon S3 存储桶以启用使用密钥的服务器端加密。
