Concesión de permisos para acceder MediaConvert a los buckets cifrados de Amazon S3 - MediaConvert
Ejemplo de política en línea con kms:Decrypt y kms:GenerateDataKey

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permisos para acceder MediaConvert a los buckets cifrados de Amazon S3

Cuando habilita el cifrado predeterminado de Amazon S3, Amazon S3 cifra automáticamente sus objetos a medida que los carga. Si lo desea, puede optar por usar AWS Key Management Service (AWS KMS) para administrar la clave. Esto se denomina cifrado SSE-KMS.

Si habilita el cifrado predeterminado de SSE-KMS en los depósitos que contienen los archivos de AWS Elemental MediaConvert entrada o salida, debe añadir políticas integradas a su función de servicio de IAM. Si no agregas políticas integradas, no MediaConvert podrás leer los archivos de entrada ni escribir los archivos de salida.

Otorgue estos permisos en los siguientes casos de uso:

  • Si el bucket de entrada tiene cifrado predeterminado SSE-KMS, conceda kms:Decrypt.

  • Si el bucket de salida tiene cifrado predeterminado SSE-KMS, conceda kms:GenerateDataKey.

La siguiente política de ejemplo concede ambos permisos.

Ejemplo de política en línea con kms:Decrypt y kms:GenerateDataKey

Esta política concede permisos tanto para kms:Decrypt como para kms:GenerateDataKey.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}