Conceder permissões MediaConvert para acessar buckets criptografados do Amazon S3 - MediaConvert
Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceder permissões MediaConvert para acessar buckets criptografados do Amazon S3

Quando você habilita a criptografia padrão do Amazon S3, o Amazon S3 automaticamente criptografa seus objetos ao carregá-los. Opcionalmente, você pode escolher usar AWS Key Management Service (AWS KMS) para gerenciar a chave. Chamamos isso de criptografia SSE-KMS.

Se você habilitar a criptografia padrão SSE-KMS nos buckets que contêm seus arquivos de AWS Elemental MediaConvert entrada ou saída, deverá adicionar políticas embutidas à sua função de serviço do IAM. Se você não adicionar políticas em linha, não MediaConvert conseguirá ler seus arquivos de entrada nem gravar seus arquivos de saída.

Conceda essas permissões nos seguintes casos de uso:

  • Se o bucket de entrada tem criptografia padrão SSE-KMS, conceda kms:Decrypt

  • Se o bucket de saída tem criptografia padrão SSE-KMS, conceda kms:GenerateDataKey.

No exemplo a seguir a política em linha concede ambas as permissões.

Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey

Essa política concede permissões para kms:Decrypt e kms:GenerateDataKey.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}