Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Concessione delle autorizzazioni per l'accesso MediaConvert a bucket Amazon S3 crittografati
Quando [abiliti la crittografia predefinita di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up), Amazon S3 crittografa automaticamente i tuoi oggetti durante il caricamento. Facoltativamente, puoi scegliere di utilizzare AWS Key Management Service (AWS KMS) per gestire la chiave. In tal caso, la crittografia è denominata SSE-KMS.
Se abiliti la crittografia predefinita SSE-KMS sui bucket che contengono i file di AWS Elemental MediaConvert input o output, devi [aggiungere politiche in linea al tuo ruolo di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console). Se non aggiungi politiche in linea, non MediaConvert puoi leggere i file di input o scrivere i file di output.
Concedi queste autorizzazioni nei seguenti casi d'uso:
+ Se il bucket di input presenta la crittografia SSE-KMS predefinita, occorre concedere la `kms:Decrypt`.
+ Se il bucket di output presenta la crittografia SSE-KMS predefinita, occorre concedere la `kms:GenerateDataKey`.
L'esempio seguente, la politica in linea concede entrambe le autorizzazioni.
## Esempio di politica in linea con e kms:Decrypt kms:GenerateDataKey
Questa politica concede le autorizzazioni per entrambi e. `kms:Decrypt` `kms:GenerateDataKey`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike":
{ "kms:ViaService": "s3.*.amazonaws.com" }
}
}
]
}
```
------