As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Concedendo permissões MediaConvert para acessar buckets criptografados do Amazon S3
Quando você habilita a criptografia padrão do Amazon S3, o Amazon S3 automaticamente criptografa seus objetos ao carregá-los. Opcionalmente, você pode optar por usar o AWS Key Management Service (AWS KMS) para gerenciar a chave. Chamamos isso de criptografia SSE-KMS.
Se você habilitar a criptografia padrão do SSE-KMS nos buckets que contêm seus arquivos de entrada e saída, você deve adicionar políticas em linha para o seu perfil de serviço do IAM nos buckets que contêm seus arquivos de AWS Elemental MediaConvert entrada e saída, você deve adicionar políticas em linha para o seu perfil de serviço do IAM. Se você não adicionar políticas em linha, não MediaConvert poderá ler seus arquivos de entrada nem gravar seus arquivos de saída.
Conceda essas permissões nos seguintes casos de uso:
-
Se o bucket de entrada tem criptografia padrão SSE-KMS, conceda
kms:Decrypt
-
Se o bucket de saída tem criptografia padrão SSE-KMS, conceda
kms:GenerateDataKey
.
No exemplo a seguir a política em linha concede ambas as permissões.
Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey
Essa política concede permissões para kms:Decrypt
e kms:GenerateDataKey
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" } } } ] }