Concessione delle autorizzazioni per l'accesso MediaConvert a bucket Amazon S3 crittografati - MediaConvert
Esempio di politica in linea con e kms:Decrypt kms:GenerateDataKey

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni per l'accesso MediaConvert a bucket Amazon S3 crittografati

Quando abiliti la crittografia predefinita di Amazon S3, Amazon S3 crittografa automaticamente i tuoi oggetti durante il caricamento. Facoltativamente, puoi scegliere di utilizzare AWS Key Management Service (AWS KMS) per gestire la chiave. In tal caso, la crittografia è denominata SSE-KMS.

Se abiliti la crittografia predefinita SSE-KMS sui bucket che contengono i file di AWS Elemental MediaConvert input o output, devi aggiungere politiche in linea al tuo ruolo di servizio IAM. Se non aggiungi politiche in linea, non MediaConvert puoi leggere i file di input o scrivere i file di output.

Concedi queste autorizzazioni nei seguenti casi d'uso:

  • Se il bucket di input presenta la crittografia SSE-KMS predefinita, occorre concedere la kms:Decrypt.

  • Se il bucket di output presenta la crittografia SSE-KMS predefinita, occorre concedere la kms:GenerateDataKey.

L'esempio seguente, la politica in linea concede entrambe le autorizzazioni.

Esempio di politica in linea con e kms:Decryptkms:GenerateDataKey

Questa politica concede le autorizzazioni per entrambi e. kms:Decrypt kms:GenerateDataKey

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}