本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授予 MediaConvert 存取加密 Amazon S3 儲存貯體的許可
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

當您[啟用 Amazon S3 預設加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)時，Amazon S3 會在您上傳物件時自動加密物件。您可以選擇使用 AWS Key Management Service (AWS KMS) 來管理金鑰。此稱為 SSE-KMS 加密。

如果您在存放 AWS Elemental MediaConvert 輸入或輸出檔案的儲存貯體上啟用 SSE-KMS 預設加密，則必須[將內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)新增至 IAM 服務角色。如果您不新增內嵌政策，MediaConvert 就無法讀取輸入檔案或寫入輸出檔案。

在下列使用案例中授予這些許可：
+ 如果您的輸入儲存貯體有 SSE-KMS 預設加密，請授予 `kms:Decrypt`
+ 如果您的輸出儲存貯體有 SSE-KMS 預設加密，請授予 `kms:GenerateDataKey`

下列內嵌政策範例會同時授予這兩個許可。

## 使用 kms:Decrypt和 的內嵌政策範例 kms:GenerateDataKey
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

此政策會授予 `kms:Decrypt`和 的許可`kms:GenerateDataKey`。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------