本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon Chime SDK 媒体捕获管道的 Amazon S3 存储桶启用服务器端加密
<a name="sse-kms"></a>

要为 Amazon Simple Storage Service (Amazon S3) 存储桶启用服务器端加密，您可以使用以下类型的加密密钥：
+ Amazon S3 托管式密钥
+ 密钥管理服务 (KMS) 中的 AWS 客户托管密钥
**注意**  
密钥管理服务支持两种类型的密钥，即客户托管密钥和 AWS 托管密钥。Amazon Chime SDK 会议仅支持客户托管密钥。

## 使用 Amazon S3 托管密钥
<a name="s3-keys"></a>

使用 Amazon S3 控制台、CLI 或 REST API 为 Amazon S3 存储桶启用服务器端加密。在这两种情况下，都选择 **Amazon S3 密钥**作为加密密钥类型。无需进一步操作。当您使用存储桶进行媒体捕获时，会在服务器端上传和加密工件。有关更多信息，请参阅 *Amazon S3 用户指南*中的[指定 Amazon S3 加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html)。

## 使用您拥有的密钥
<a name="customer-key"></a>

要使用您管理的密钥启用加密，您需要使用客户托管密钥启用 Amazon S3 存储桶的服务器端加密，然后在密钥策略中添加一条声明，允许 Amazon Chime 使用该密钥并加密任何上传的项目。

1. 在 KMS 中创建客户托管密钥。有关执行此操作的信息，请参阅 *Amazon* S3 用户指南中的[使用 AWS KMS (SSE-KMS) 指定服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。

1. 在密钥政策中添加语句，允许该 `GenerateDataKey` 操作生成密钥由 Amazon Chime SDK 服务主体使用的密钥，`mediapipelines.chime.amazonaws.com`。

   此示例显示一个典型语句。

   ```
   ...
   {
       "Sid": "MediaPipelineSSEKMS",
       "Effect": "Allow",
       "Principal": {
           "Service": "mediapipelines.chime.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "*",
       "Condition": {
           "StringEquals": {
              "aws:SourceAccount": "Account_Id"
           },
           "ArnLike": {
               "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
           }
       }
   }
   ...
   ```

1. 如果您使用媒体串联管道，在密钥政策中添加语句，允许 Amazon Chime SDK 服务主体 `mediapipelines.chime.amazonaws.com` 使用 `kms:Decrypt` 操作。

1. 配置 Amazon S3 存储桶以启用使用密钥的服务器端加密。