Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey

Concedendo permissões MediaConvert para acessar buckets criptografados do Amazon S3

Quando você habilita a criptografia padrão do Amazon S3, o Amazon S3 automaticamente criptografa seus objetos ao carregá-los. Opcionalmente, você pode optar por usar o AWS Key Management Service (AWS KMS) para gerenciar a chave. Chamamos isso de criptografia SSE-KMS.

Se você habilitar a criptografia padrão do SSE-KMS nos buckets que contêm seus arquivos de entrada e saída, você deve adicionar políticas em linha para o seu perfil de serviço do IAM nos buckets que contêm seus arquivos de AWS Elemental MediaConvert entrada e saída, você deve adicionar políticas em linha para o seu perfil de serviço do IAM. Se você não adicionar políticas em linha, não MediaConvert poderá ler seus arquivos de entrada nem gravar seus arquivos de saída.

Conceda essas permissões nos seguintes casos de uso:

Se o bucket de entrada tem criptografia padrão SSE-KMS, conceda kms:Decrypt
Se o bucket de saída tem criptografia padrão SSE-KMS, conceda kms:GenerateDataKey.

No exemplo a seguir a política em linha concede ambas as permissões.

Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey

Essa política concede permissões para kms:Decrypt e kms:GenerateDataKey.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar um perfil no IAM

Conceitos básicos