Datenschutz in Kinesis Video Streams - Amazon Kinesis Video Streams
Was ist serverseitige Verschlüsselung für Kinesis Video Streams?Überlegungen zu Kosten, Regionen und LeistungWie fange ich mit der serverseitigen Verschlüsselung an?Einen vom Kunden verwalteten Schlüssel erstellen und verwendenBerechtigungen zur Verwendung eines vom Kunden verwalteten Schlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in Kinesis Video Streams

Sie können serverseitige Verschlüsselung (SSE) mit AWS Key Management Service (AWS KMS) -Schlüsseln verwenden, um strenge Datenverwaltungsanforderungen zu erfüllen, indem Sie Ihre ruhenden Daten in Amazon Kinesis Video Streams verschlüsseln.

Was ist serverseitige Verschlüsselung für Kinesis Video Streams?

Die serverseitige Verschlüsselung ist eine Funktion in Kinesis Video Streams, mit der Daten automatisch mit einem von Ihnen angegebenen AWS KMS Schlüssel verschlüsselt werden, bevor sie im Ruhezustand gespeichert werden. Daten werden verschlüsselt, bevor sie in die Kinesis Video Streams Streams-Stream-Speicherschicht geschrieben werden, und sie werden entschlüsselt, nachdem sie aus dem Speicher abgerufen werden. Daher werden Ihre Daten im Ruhezustand innerhalb des Kinesis Video Streams Streams-Dienstes immer verschlüsselt.

Dank serverseitiger Verschlüsselung müssen Ihre Kinesis-Videostream-Produzenten und -Nutzer weder KMS Schlüssel noch kryptografische Operationen verwalten. Wenn die Datenspeicherung aktiviert ist, werden Ihre Daten beim Ein- und Austritt aus Kinesis Video Streams automatisch verschlüsselt, sodass Ihre Daten im Ruhezustand verschlüsselt sind. AWS KMS stellt alle Schlüssel bereit, die von der serverseitigen Verschlüsselungsfunktion verwendet werden. AWS KMS optimiert die Verwendung eines KMS Schlüssels für Kinesis Video Streams, der von einem benutzerdefinierten AWS KMS Schlüssel verwaltet wird AWS, der in den Service importiert wurde. AWS KMS

Überlegungen zu Kosten, Regionen und Leistung

Wenn Sie serverseitige Verschlüsselung anwenden, fallen Kosten für AWS KMS API Nutzung und Schlüssel an. Im Gegensatz zu benutzerdefinierten AWS KMS Schlüsseln wird der (Default) aws/kinesis-video KMS Schlüssel kostenlos angeboten. Sie müssen jedoch weiterhin die API Nutzungskosten bezahlen, die Kinesis Video Streams in Ihrem Namen entstehen.

APINutzungskosten fallen für jeden KMS Schlüssel an, auch für benutzerdefinierte. Die AWS KMS Kosten hängen von der Anzahl der Benutzeranmeldedaten ab, die Sie bei Ihren Datenproduzenten und -verbrauchern verwenden, da für jeden Benutzeranmeldenachweis ein eindeutiger API Aufruf erforderlich ist. AWS KMS

Im Folgenden werden die Kosten pro Ressource aufgeführt:

Schlüssel

  • Der KMS Schlüssel für Kinesis Video Streams, der von AWS (alias =aws/kinesis-video) verwaltet wird, ist kostenlos.

  • Benutzergenerierte KMS Schlüssel sind kostenpflichtig AWS KMS key . Weitere Informationen finden Sie unter AWS Key Management Service -Preisgestaltung.

AWS KMS APINutzung

APIAnfragen zur Generierung neuer Datenverschlüsselungsschlüssel oder zum Abrufen vorhandener Verschlüsselungsschlüssel nehmen mit zunehmendem Datenverkehr zu und sind mit AWS KMS Nutzungskosten verbunden. Weitere Informationen finden Sie unter AWS Key Management Service Preise: Nutzung.

Kinesis Video Streams generiert wichtige Anfragen, auch wenn die Aufbewahrung auf 0 gesetzt ist (keine Aufbewahrung).

Verfügbarkeit serverseitiger Verschlüsselung nach Regionen

Die serverseitige Verschlüsselung von Kinesis Video Streams ist überall verfügbar, AWS-Regionen wo Kinesis Video Streams verfügbar ist.

Wie fange ich mit der serverseitigen Verschlüsselung an?

Die serverseitige Verschlüsselung ist bei Kinesis Video Streams immer aktiviert. Wenn bei der Erstellung des Streams kein vom Benutzer bereitgestellter Schlüssel angegeben wird, wird der Von AWS verwalteter Schlüssel (von Kinesis Video Streams bereitgestellt) verwendet.

Ein vom Benutzer KMS bereitgestellter Schlüssel muss einem Kinesis-Videostream zugewiesen werden, wenn er erstellt wird. Mit der Option „UpdateStreamAPISpäter“ können Sie einem Stream keinen anderen Schlüssel zuweisen.

Sie können einem Kinesis-Videostream auf zwei Arten einen vom Benutzer bereitgestellten KMS Schlüssel zuweisen:

  • Geben Sie beim Erstellen eines Kinesis-Videostreams in den AWS Management Console den den KMS Schlüssel auf der Registerkarte Verschlüsselung auf der Seite Neuen Videostream erstellen an.

  • Wenn Sie einen Kinesis-Videostream mit dem erstellen CreateStreamAPI, geben Sie die Schlüssel-ID im KmsKeyId Parameter an.

Einen vom Kunden verwalteten Schlüssel erstellen und verwenden

In diesem Abschnitt wird beschrieben, wie Sie Ihre eigenen KMS Schlüssel erstellen und verwenden können, anstatt den von Amazon Kinesis Video Streams verwalteten Schlüssel zu verwenden.

Einen vom Kunden verwalteten Schlüssel erstellen

Informationen zum Erstellen eigener Schlüssel finden Sie unter Creating Keys im AWS Key Management Service Developer Guide. Nachdem Sie Schlüssel für Ihr Konto erstellt haben, gibt der Kinesis Video Streams Streams-Dienst diese Schlüssel in der Liste der vom Kunden verwalteten Schlüssel zurück.

Verwenden eines vom Kunden verwalteten Schlüssels

Nachdem Sie Ihren Verbrauchern, Produzenten und Administratoren die richtigen Berechtigungen zugewiesen haben, können Sie benutzerdefinierte KMS Schlüssel für sich selbst AWS-Konto oder für einen anderen verwenden AWS-Konto. Alle KMS Schlüssel in Ihrem Konto werden in der Liste „Vom Kunden verwaltete Schlüssel“ auf der Konsole angezeigt.

Um benutzerdefinierte KMS Schlüssel verwenden zu können, die sich in einem anderen Konto befinden, müssen Sie über die entsprechenden Berechtigungen verfügen. Sie müssen den Stream auch mit dem erstellen CreateStreamAPI. Sie können keine KMS Schlüssel von verschiedenen Konten in Streams verwenden, die in der Konsole erstellt wurden.

Anmerkung

Auf den KMS Schlüssel wird erst zugegriffen, wenn die GetMedia Operation PutMedia oder ausgeführt wurde. Dies führt zu folgendem Ergebnis:

  • Wenn der von Ihnen angegebene Schlüssel nicht existiert, ist der CreateStream Vorgang erfolgreich, aber PutMedia die GetMedia Operationen im Stream schlagen fehl.

  • Wenn Sie den bereitgestellten Schlüssel (aws/kinesis-video) verwenden, ist der Schlüssel erst in Ihrem Konto vorhanden, wenn der erste PutMedia GetMedia OR-Vorgang ausgeführt wird.

Berechtigungen zur Verwendung eines vom Kunden verwalteten Schlüssels

Bevor Sie serverseitige Verschlüsselung mit einem vom Kunden verwalteten Schlüssel verwenden können, müssen Sie KMS Schlüsselrichtlinien konfigurieren, um die Verschlüsselung von Streams sowie die Verschlüsselung und Entschlüsselung von Stream-Datensätzen zu ermöglichen. Beispiele und weitere Informationen zu AWS KMS Berechtigungen finden Sie unter AWS KMS APIPermissions: Actions and Resources Reference.

Anmerkung

Die Verwendung des standardmäßigen Dienstschlüssels für die Verschlüsselung erfordert keine Anwendung benutzerdefinierter IAM Berechtigungen.

Bevor Sie einen vom Kunden verwalteten Schlüssel verwenden, stellen Sie sicher, dass Ihre Kinesis-Videostream-Produzenten und -Verbraucher (IAMPrincipals) Benutzer gemäß der AWS KMS Standardschlüsselrichtlinie sind. Andernfalls schlägt das Schreiben in und das Lesen aus dem Stream fehl. Dies kann zu einem Datenverlust, einer verspäteten Verarbeitung oder abgestürzten Anwendungen führen. Sie können die Berechtigungen für KMS Schlüssel mithilfe von IAM Richtlinien verwalten. Weitere Informationen finden Sie unter IAMRichtlinien verwenden mit AWS KMS.

Beispiel für Herstellerberechtigungen

Ihre Kinesis-Videostream-Produzenten müssen über die folgenden kms:GenerateDataKey Berechtigungen verfügen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis-video:PutMedia",
        ],
        "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
    }
  ]
}

Beispiel für Benutzerberechtigungen

Ihre Kinesis-Videostream-Nutzer müssen über die folgenden kms:Decrypt Berechtigungen verfügen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis-video:GetMedia",
        ],
        "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
    }
  ]
}