Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Abilitazione della crittografia lato server a livello di oggetto con chiave AWS KMS
Media Capture Pipeline e Media Concatenation Pipeline possono utilizzare AWS Key Management Service (AWS KMS) chiavi gestite dal cliente per abilitare la crittografia lato server (SSE) per singoli oggetti in un bucket Amazon S3. Per configurarlo, è necessario utilizzare la chiamata API. [CreateMediaCapturePipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_CreateMediaCapturePipeline.html) Media Concatenation Pipeline utilizzerà i parametri di crittografia lato server della Media Capture Pipeline associata.
Per abilitare SSE per singoli oggetti (SSE a livello di oggetto) utilizzando la chiave gestita dal AWS KMS cliente, è necessario fornire la struttura e durante la chiamata API: `SseAwsKeyManagementParams` `SinkIamRoleArn` [CreateMediaCapturePipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_CreateMediaCapturePipeline.html)
1. Utilizzate il `AwsKmsKeyId` parametro nella `SseAwsKeyManagementParams` struttura per specificare la chiave. AWS KMS È possibile specificare l'ID della chiave utilizzando l'ID, l'ARN o l'alias della chiave.
1. Utilizza il `SinkIamRoleArn` parametro per specificare il ruolo IAM per accedere alla AWS KMS chiave e al bucket sink Amazon S3.
1. Facoltativamente, puoi utilizzare il `AwsKmsEncryptionContext` parametro nella `SseAwsKeyManagementParams` struttura per specificare il contesto di crittografia da utilizzare insieme agli AWS KMS elementi chiave per una maggiore sicurezza.
**Nota**
I `SinkIamRoleArn` parametri `AwsKmsKeyId` and sono co-dipendenti. Quando entrambi sono presenti e validi, Media Capture Pipeline assumerà il ruolo e inserirà ogni elemento nel bucket-sink Amazon S3 specificato con la chiave specificata. AWS KMS La chiamata [CreateMediaConcatenationPipeline](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_CreateMediaConcatenationPipeline.html)API non ha nuovi parametri ma utilizzerà i parametri sopra indicati, se specificato. Se prevedi di concatenare gli artefatti, assicurati che la configurazione delle risorse sia impostata come descritto nella [Configurazione](#using-kms-keys-for-encryption-config) sezione seguente e che sia persistente nel tempo.
## Configurazione
`SinkIamRoleArn`Deve avere le stesse autorizzazioni e lo stesso accesso del principale per inserire gli artefatti nel bucket Amazon S3. Per ulteriori informazioni sulle autorizzazioni predefinite previste nel bucket Amazon S3, [consulta Creazione di un bucket Amazon S3 per Amazon Chime SDK Media Capture](https://docs.aws.amazon.com/chime-sdk/latest/dg/create-s3-bucket.html) Pipelines. Per abilitare SSE per singoli oggetti, il tuo bucket Amazon S3 deve consentire al ruolo IAM specificato utilizzando `SinkIamRoleArn` il di eseguire lo stesso set di azioni che ti aspetteresti dall'identità IAM chiamante. Puoi raggiungere questo obiettivo aggiungendo il seguente principio alla tua politica di autorizzazione dei bucket Amazon S3.
```
...
"Principal": {
...
"AWS": "arn:aws:iam::;:role/"
...
},
...
```
`AwsKmsKeyId`Dovrebbero puntare a una chiave che consenta loro di eseguire. `SinkIamRoleArn` `GenerateDataKey` Se si intende utilizzare Media Concatenation Pipeline, la AWS KMS chiave dovrebbe consentire anche l'uso dell'azione. `Decrypt` Guarda l'esempio seguente.
**Nota**
La risorsa è impostata per utilizzare caratteri jolly`“*”`, che in questo contesto di politica AWS KMS chiave significa «se stessa».
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam:::role/"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
Il `SinkIamRoleArn` ruolo deve avere un rapporto di fiducia che consenta al servizio di assumerlo. Guarda l'esempio seguente.
```
{
"Effect": "Allow",
"Principal": {
"Service": "mediapipelines.chime.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:chime:*::*"
}
}
}
```
`SinkIamRoleArn`Dovrebbero avere la seguente politica di autorizzazioni minime per Media Capture Pipeline. Guarda l'esempio seguente.
```
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "arn:aws:kms:::key/",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:chime:*::*"
}
}
},
{
"Effect": "Allow",
"Action": ["s3:PutObject", "s3:PutObjectAcl"],
"Resource": "arn:aws:s3:::/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:chime:*::*"
}
}
}
```
Inoltre, al chiamante deve essere consentito di accedere `SinkIamRoleArn` al servizio. Nei casi in cui il chiamante non dispone di tale autorizzazione, questa deve essere aggiunta esplicitamente. Guarda l'esempio seguente.
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "",
"Condition": {
"ArnLike": {
"iam:AssociatedResourceArn": "arn:aws:chime:*::media-pipeline/*"
},
"StringEquals": {
"iam:PassedToService": "mediapipelines.chime.amazonaws.com"
}
}
}
```
## Implementazione della concatenazione multimediale
Se prevedi di utilizzare Media Concatenation Pipeline dopo Media Capture, consulta per comprendere le autorizzazioni richieste. [Creazione di una pipeline di concatenazione multimediale Amazon Chime SDK](create-concat-pipe-steps.md) Per far funzionare la pipeline con la AWS KMS chiave per l'SSE a livello di oggetto, è necessario espandere `SinkIamRoleArn` le autorizzazioni (azioni consentite) per la chiave e il bucket AWS KMS Amazon S3. Guarda l'esempio seguente.
```
...
{
...
{
...
"Action": ["kms:GenerateDataKey","kms:Decrypt"]
"Resource": "arn:aws:kms:::key/",
...
}
...
{
"Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:GetObject", "s3:ListBucket"],
"Resource": "arn:aws:s3:::/*",
}
...
}
...
```