我正在使用亚马逊 S3 存储以及带有客户提供的密钥 (SSE-C) 的服务器端加密来存储视频文件。我使用 Django 作为我的后端服务器,并将与数据库中每个文件关联的所有名称密钥和密钥存储在 EC2 容器上。
我想使用亚马逊云端服务流式传输这些视频。我已经创建并配置了一个带有 S3 存储的云端分发。我可以很容易地提供非加密视频,但我无法访问加密视频,因为它需要名称密钥和密钥才能访问服务器端加密数据。
在这方面我找不到任何帮助。甚至可以使用云端提供服务器端加密 (SSE-C) 媒体文件吗?
如果可能,请指导我找到最佳解决方案。 在这方面的任何帮助将不胜感激。谢谢
【问题讨论】:
标签: amazon-s3 video-streaming amazon-cloudfront
它需要名称密钥和密钥才能访问服务器端的加密数据。
这还不是问题的全部;然而。 CloudFront signed URLs with an origin access identity 将透明地重新签署请求,以便 S3 在 CloudFront 断定请求已获得授权时允许访问这些对象,但您无法创建与 SSE-C 兼容的 CloudFront 签名 URL。
这又是因为 S3 中的 SSE-C 不支持在查询字符串中将必要的参数传递给 S3。
使用预签名 URL 上传新对象、检索现有对象或仅检索对象元数据时,您必须在客户端应用程序中提供所有加密标头
http://docs.aws.amazon.com/AmazonS3/latest/dev/ServerSideEncryptionCustomerKeys.html
使用 SSE-C,加密参数必须作为标头而不是查询参数发送。
而且,如果您考虑一下,似乎没有什么用密钥加密对象的目的,这些密钥在每次发出请求时并记录——密钥将在查询字符串中。
SSE-S3 与 CloudFront 透明地协同工作。 SSE-KMS,我也希望得到支持(因为根据 S3 API 文档,GET 请求不需要(或允许)与加密相关的标头)。
如果您的对象使用带有 AWS KMS 托管加密密钥 (SSE-KMS) 的服务器端加密或服务器端加密,则不应为 GET 请求发送加密请求标头,例如 x-amz-server-side-encryption使用 Amazon S3 托管的加密密钥 (SSE-S3)
http://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectGET.html
【讨论】: