Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Serverseitige Verschlüsselung auf Objektebene mit Schlüssel aktivieren AWS KMS
<a name="using-kms-keys-for-encryption"></a>

Media Capture Pipeline und Media Concatenation Pipeline können AWS Key Management Service (AWS KMS) vom Kunden verwaltete Schlüssel verwenden, um serverseitige Verschlüsselung (SSE) für einzelne Objekte in einem Amazon S3 S3-Bucket zu aktivieren. Um dies zu konfigurieren, müssen Sie den API-Aufruf verwenden. [CreateMediaCapturePipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_CreateMediaCapturePipeline.html) Die Media Concatenation Pipeline verwendet die serverseitigen Verschlüsselungsparameter der zugehörigen Media Capture-Pipeline.

Um SSE für einzelne Objekte (SSE auf Objektebene) mithilfe Ihres vom AWS KMS Kunden verwalteten Schlüssels zu aktivieren, müssen Sie die `SseAwsKeyManagementParams` Struktur angeben und während des API-Aufrufs Folgendes angeben: `SinkIamRoleArn` [CreateMediaCapturePipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_CreateMediaCapturePipeline.html)

1. Verwenden Sie den `AwsKmsKeyId` Parameter in der `SseAwsKeyManagementParams` Struktur, um den AWS KMS Schlüssel anzugeben. Sie können die Schlüssel-ID mithilfe der ID, des ARN oder des Alias des Schlüssels angeben.

1. Verwenden Sie den `SinkIamRoleArn` Parameter, um die IAM-Rolle für den Zugriff auf den AWS KMS Schlüssel und den Amazon S3 S3-Bucket anzugeben.

1. Optional können Sie den `AwsKmsEncryptionContext` Parameter in der `SseAwsKeyManagementParams` Struktur verwenden, um den Verschlüsselungskontext anzugeben, der zusammen mit AWS KMS Schlüsselartefakten verwendet werden soll, um die Sicherheit zu erhöhen.

**Anmerkung**  
Die `SinkIamRoleArn` Parameter `AwsKmsKeyId` und sind voneinander abhängig. Wenn beide vorhanden und gültig sind, übernimmt die Media Capture-Pipeline die Rolle und platziert jedes Artefakt mit dem angegebenen Schlüssel im angegebenen Amazon S3 S3-Bucket-Sink. AWS KMS Der [CreateMediaConcatenationPipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_CreateMediaConcatenationPipeline.html)API-Aufruf hat keine neuen Parameter, verwendet aber die oben genannten Parameter, sofern angegeben. Wenn Sie beabsichtigen, Artefakte zu verketten, stellen Sie sicher, dass Ihre Ressourcenkonfiguration wie im folgenden [Konfiguration](#using-kms-keys-for-encryption-config) Abschnitt beschrieben festgelegt ist und über einen längeren Zeitraum erhalten bleibt.

## Konfiguration
<a name="using-kms-keys-for-encryption-config"></a>

Er `SinkIamRoleArn` muss dieselben Berechtigungen und denselben Zugriff wie der Principal haben, um Artefakte in den Amazon S3 S3-Bucket zu legen. Weitere Informationen zu den erwarteten Standardberechtigungen im Amazon S3 S3-Bucket finden Sie unter [Erstellen eines Amazon S3 S3-Buckets für Amazon Chime SDK Media Capture Pipelines](https://docs.aws.amazon.com/chime-sdk/latest/dg/create-s3-bucket.html). Um SSE für einzelne Objekte zu aktivieren, muss Ihr Amazon S3 S3-Bucket es der mit der angegebenen IAM-Rolle ermöglichen`SinkIamRoleArn`, dieselben Aktionen auszuführen, die Sie von der aufrufenden IAM-Identität erwarten würden. Sie können dies erreichen, indem Sie den folgenden Prinzipal zu Ihrer Amazon S3 S3-Bucket-Berechtigungsrichtlinie hinzufügen.

```
...
"Principal": {
    ...
    "AWS": "arn:aws:iam::<YOUR_ACCOUNT_ID>;:role/<SINK_IAM_ROLE_NAME>"
    ...
},
...
```

Das `AwsKmsKeyId` sollte auf einen Schlüssel verweisen, der die Ausführung `SinkIamRoleArn` ermöglicht`GenerateDataKey`. Wenn die Media Concatenation Pipeline verwendet werden soll, sollte der AWS KMS Schlüssel auch die Verwendung der Aktion ermöglichen. `Decrypt` Sehen Sie sich das folgende Beispiel an.

**Anmerkung**  
Die Ressource ist so eingestellt, dass sie Platzhalter verwendet`“*”`, was in diesem Zusammenhang einer AWS KMS wichtigen Richtlinie für „sich selbst“ steht.

```
{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<YOUR_ACCOUNT_ID>:role/<YOUR_CUSTOMER_ROLE_ID>"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

Die `SinkIamRoleArn` Rolle muss über eine Vertrauensbeziehung verfügen, die es dem Dienst ermöglicht, sie zu übernehmen. Sehen Sie sich das folgende Beispiel an.

```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "mediapipelines.chime.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "<YOUR_ACCOUNT_ID>"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:<YOUR_ACCOUNT_ID>:*"
        }
    }
}
```

Sie `SinkIamRoleArn` sollten über die folgenden Mindestberechtigungsrichtlinien für Media Capture Pipeline verfügen. Sehen Sie sich das folgende Beispiel an.

```
{
    "Effect": "Allow",
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:<KMS_KEY_REGION>:<KMS_KEY_ACCOUNT_ID>:key/<MS_KEY_ID>",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "<YOUR_ACCOUNT_ID>"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:<YOUR_ACCOUNT_ID>:*"
        }
    }
},
{
    "Effect": "Allow",
    "Action": ["s3:PutObject", "s3:PutObjectAcl"],
    "Resource": "arn:aws:s3:::<YOUR_DEDICATED_KMS_BUCKET_ID>/*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "<YOUR_ACCOUNT_ID>"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:chime:*:<YOUR_ACCOUNT_ID>:*"
        }
    }
}
```

Darüber hinaus muss dem Anrufer die Möglichkeit gegeben werden, `SinkIamRoleArn` zum Dienst weiterzuleiten. In Fällen, in denen der Anrufer nicht über eine solche Erlaubnis verfügt, sollte sie explizit hinzugefügt werden. Sehen Sie sich das folgende Beispiel an.

```
{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "<SINK_IAM_ROLE_ARN>",
    "Condition": {
        "ArnLike": {
            "iam:AssociatedResourceArn": "arn:aws:chime:*:<YOUR_ACCOUNT_ID>:media-pipeline/*"
        },
        "StringEquals": {
            "iam:PassedToService": "mediapipelines.chime.amazonaws.com"
        }
    }
}
```

## Implementierung der Medienverkettung
<a name="media-concatenation-implementatoin"></a>

Wenn Sie beabsichtigen, die Media Concatenation Pipeline nach Media Capture zu verwenden, informieren Sie [Aufbau einer Amazon Chime SDK-Pipeline zur Medienverkettung](create-concat-pipe-steps.md) sich über die erforderlichen Berechtigungen. Damit die Pipeline mit dem AWS KMS Schlüssel für SSE auf Objektebene funktioniert, müssen die `SinkIamRoleArn` Berechtigungen (zulässige Aktionen) für den AWS KMS Schlüssel und den Amazon S3 S3-Bucket erweitert werden. Sehen Sie sich das folgende Beispiel an.

```
...
{
    ...
    {
        ...
        "Action": ["kms:GenerateDataKey","kms:Decrypt"]
        "Resource": "arn:aws:kms:<KMS_KEY_REGION>:<KMS_KEY_ACCOUNT_ID>:key/<KMS_KEY_ID>",
        ...
    }
    ...
    {
        "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:GetObject", "s3:ListBucket"],
        "Resource": "arn:aws:s3:::<YOUR_DEDICATED_KMS_BUCKET_ID>/*",
    }
    ...
}
...
```