Was ist serverseitige Verschlüsselung für Kinesis Data Streams? - Amazon Kinesis Data Streams

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist serverseitige Verschlüsselung für Kinesis Data Streams?

Serverseitige Verschlüsselung ist eine Funktion in Amazon Kinesis Data Streams, die Daten automatisch verschlüsselt, bevor sie gespeichert werden, indem ein von Ihnen festgelegter AWS KMS Customer Master Key (CMK) verwendet wird. Die Daten werden verschlüsselt, bevor sie in die Speicherschicht des Kinesis-Streams geschrieben werden. Nach Abruf aus dem Speicher werden Sie entschlüsselt. Dadurch sind Ihre ruhenden Daten innerhalb des Services Kinesis Data Streams verschlüsselt. Sie erfüllen so die strengen regulatorischen Anforderungen und erhöhen die Sicherheit Ihrer Daten.

Durch die serverseitige Verschlüsselung müssen Ihre Kinesis-Stream-Produzenten und -Verbraucher keine Masterschlüssel oder kryptographische Operationen verwalten. Ihre Daten werden automatisch verschlüsselt, wenn sie den Kinesis Data Streams Streams-Dienst betreten und verlassen, sodass Ihre Daten im Ruhezustand verschlüsselt sind. AWS KMS stellt alle Masterschlüssel bereit, die von der serverseitigen Verschlüsselungsfunktion verwendet werden. AWS KMS macht es einfach, ein CMK für Kinesis zu verwenden, das von AWS einem benutzerdefinierten AWS KMS CMK oder einem in den Service importierten Masterschlüssel verwaltet wird. AWS KMS

Anmerkung

Bei der serverseitigen Verschlüsselung werden eingehende Daten nur dann verschlüsselt, wenn die Funktion aktiviert ist. Bereits in einem nicht verschlüsselten Stream vorhandene Daten werden nach Aktivierung der serverseitigen Verschlüsselung nicht verschlüsselt.

Wenn Sie Ihre Datenströme verschlüsseln und den Zugriff mit anderen Principals teilen, müssen Sie die entsprechenden Berechtigungen sowohl in der Schlüsselrichtlinie für den Schlüssel als auch in den IAM-Richtlinien für das AWS KMS externe Konto erteilen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben.

Wenn Sie die serverseitige Verschlüsselung für einen Datenstream mit AWS verwaltetem KMS-Schlüssel aktiviert haben und den Zugriff über eine Ressourcenrichtlinie gemeinsam nutzen möchten, müssen Sie zur Verwendung des vom Kunden verwalteten Schlüssels (CMK) wechseln, wie im Folgenden dargestellt:

Encryption settings interface with options for server-side encryption and customer-managed CMK.

Darüber hinaus müssen Sie Ihren freigebenden Prinzipal-Entitäten Zugriff auf Ihren CMK gewähren, indem Sie die kontoübergreifenden KMS-Freigabe-Funktionen nutzen. Stellen Sie sicher, dass Sie auch die IAM-Richtlinien für die freigebenden Prinzipal-Entitäten ändern. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben.