本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要啟用 Amazon Simple Storage Service (Amazon S3) 儲存貯體的伺服器端加密,您可以使用下列類型的加密金鑰:
-
Amazon S3 受管金鑰
-
Key AWS Management Service (KMS) 中的客戶受管金鑰
注意
Key Management Service 支援兩種類型的金鑰:客戶受管金鑰和 AWS 受管金鑰。Amazon Chime SDK 會議僅支援客戶受管金鑰。
使用 Amazon S3 受管金鑰
您可以使用 Amazon S3 主控台、CLI 或 REST API 來啟用 Amazon S3 儲存貯體的伺服器端加密。在這兩種情況下,選擇 Amazon S3 金鑰做為加密金鑰類型。不需要進一步的動作。當您使用 儲存貯體進行媒體擷取時,成品會在伺服器端上傳和加密。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的指定 Amazon S3 加密。 Amazon S3
使用您擁有的金鑰
若要使用您管理的金鑰啟用加密,您需要使用客戶受管金鑰啟用 Amazon S3 儲存貯體的伺服器端加密,然後將陳述式新增至金鑰政策,以允許 Amazon Chime 使用金鑰並加密任何上傳的成品。
-
在 KMS 中建立客戶受管金鑰。如需執行此作業的相關資訊,請參閱《Amazon S3 使用者指南》中的使用 AWS KMS (SSE-KMS) 指定伺服器端加密。
-
將陳述式新增至金鑰政策,允許
GenerateDataKey動作產生金鑰以供 Amazon Chime SDK 服務主體 使用mediapipelines.chime.amazonaws.com。此範例顯示典型的陳述式。
... { "Sid": "MediaPipelineSSEKMS", "Effect": "Allow", "Principal": { "Service": "mediapipelines.chime.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "Account_Id" }, "ArnLike": { "aws:SourceArn": "arn:aws:chime:*:Account_Id:*" } } } ... -
如果您使用媒體串連管道,請將陳述式新增至金鑰政策,允許 Amazon Chime SDK 服務主體
mediapipelines.chime.amazonaws.com使用kms:Decrypt動作。 -
設定 Amazon S3 儲存貯體,以使用 金鑰啟用伺服器端加密。
