问：在使用亚马逊弹性转码器在HTTP实时媒体流内容上进行AES-128加密时，数据密钥可以自己创建，或者由弹性转码器生成。每一种提供了哪些安全呢？哪种选择适合自己的企业？

Dan Sullivan答：这个问题属于更为宽泛的如何管理加密密钥的一个具体实例。我们先来看一下定义：

亚马逊弹性转码器属于一项将媒体内容从一种形式转换成另一种形式的服务。用来将媒体文件映射到一种适合具体设备的形式，比如移动电话。

HTTP实时流或者HLS属于优化媒体播放的一种协议。HLS从服务器向设备按需发送渲染内容的媒体文件片段。

随着任何其他的消息或者内容通过网络传输，就需要加密HLS数据。亚马逊弹性转码器服务支持AES-128加密；也就是说媒体篇可以在离开服务器之前加密，并且由客户端设备解密。服务器需要访问加密密钥，客户端将需要访问解密密钥。亚马逊弹性转码器解决了这两方面的需求。

这样做遗留了一个问题，这些密钥从何而来？亚马逊提供了一种选择：你可以使用亚马逊转码器服务的密钥生成功能或者可以自己生成。

如果你现有的私有密钥基础设施属于核心管理，使用其生成密钥就很有必要。管理密钥并不是琐碎的工作，但是你可以利用的实际情况就是你有政策和程序，在适当的地方而已管理并治理密钥生成。如果你有另外的应用使用集中化的密钥管理服务，尤其如此。通过使用相同的密钥管理系统可以管理多种应用，你能够自动化并且减少额外的管理费用。比如，在审查你的密钥管理事件时，你不得不参考集中的密钥管理服务，而不是多种、面向具体应用的密钥管理服务。

如果你没有私有密钥基础设施，使用亚马逊转码器加密服务可能更加简单，而且管理密钥作为媒体管理流程的一部分。如果你想对密钥管理有更多的控制，可以考虑使用AWS密钥管理服务。这项服务旨在支持基于云的以及本地加密的密钥管理。