本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為 Amazon Chime SDK 媒體擷取管道的 Amazon S3 儲存貯體啟用伺服器端加密
<a name="sse-kms"></a>

若要啟用 Amazon Simple Storage Service (Amazon S3) 儲存貯體的伺服器端加密，您可以使用以下類型的加密金鑰：
+ Amazon S3 受管金鑰
+ Key AWS Management Service (KMS) 中的客戶受管金鑰
**注意**  
Key Management Service 支援兩種類型的金鑰：客戶受管金鑰和 AWS 受管金鑰。Amazon Chime SDK 會議僅支援客戶受管金鑰。

## 使用 Amazon S3 受管金鑰
<a name="s3-keys"></a>

您可以使用 Amazon S3 主控台、CLI 或 REST API 來啟用 Amazon S3 儲存貯體的伺服器端加密。在這兩種情況下，選擇 **Amazon S3 金鑰**做為加密金鑰類型。不需要進一步的動作。當您使用 儲存貯體進行媒體擷取時，成品會在伺服器端上傳和加密。如需詳細資訊，請參閱《[Amazon S3 使用者指南》中的指定 Amazon S3 加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html)。 *Amazon S3 * 

## 使用您擁有的金鑰
<a name="customer-key"></a>

若要使用您管理的金鑰啟用加密，您需要使用客戶受管金鑰啟用 Amazon S3 儲存貯體的伺服器端加密，然後將陳述式新增至金鑰政策，以允許 Amazon Chime 使用金鑰並加密任何上傳的成品。

1. 在 KMS 中建立客戶受管金鑰。如需這麼做的相關資訊，請參閱《*Amazon S3 使用者指南*》中的[使用 AWS KMS (SSE-KMS) 指定伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。

1. 將陳述式新增至金鑰政策，允許 `GenerateDataKey`動作產生金鑰以供 Amazon Chime SDK 服務主體 使用`mediapipelines.chime.amazonaws.com`。

   此範例顯示典型的 陳述式。

   ```
   ...
   {
       "Sid": "MediaPipelineSSEKMS",
       "Effect": "Allow",
       "Principal": {
           "Service": "mediapipelines.chime.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "*",
       "Condition": {
           "StringEquals": {
              "aws:SourceAccount": "Account_Id"
           },
           "ArnLike": {
               "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
           }
       }
   }
   ...
   ```

1. 如果您使用媒體串連管道，請將陳述式新增至金鑰政策，`mediapipelines.chime.amazonaws.com`以允許 Amazon Chime SDK 服務主體 使用 `kms:Decrypt`動作。

1. 設定 Amazon S3 儲存貯體以使用 金鑰啟用伺服器端加密。