Was ist serverseitige Verschlüsselung für Kinesis Data Streams? - Amazon-Kinesis-Data-Streams

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist serverseitige Verschlüsselung für Kinesis Data Streams?

Serverseitige Verschlüsselung ist eine Funktion in Amazon Kinesis Data Streams, die Daten automatisch verschlüsselt, bevor sie gespeichert werden, indem ein von Ihnen festgelegter AWS KMS Kundenhauptschlüssel (CMK) verwendet wird. Die Daten werden verschlüsselt, bevor sie in die Speicherschicht des Kinesis-Streams geschrieben werden. Nach Abruf aus dem Speicher werden Sie entschlüsselt. Dadurch sind Ihre ruhenden Daten innerhalb des Services Kinesis Data Streams verschlüsselt. Sie erfüllen so die strengen regulatorischen Anforderungen und erhöhen die Sicherheit Ihrer Daten.

Durch die serverseitige Verschlüsselung müssen Ihre Kinesis-Stream-Produzenten und -Verbraucher keine Masterschlüssel oder kryptographische Operationen verwalten. Ihre Daten werden automatisch verschlüsselt, wenn sie in den Kinesis Data Streams Streams-Dienst eingehen und ihn verlassen, sodass Ihre Daten im Ruhezustand verschlüsselt sind. AWS KMS stellt alle Masterschlüssel bereit, die von der serverseitigen Verschlüsselungsfunktion verwendet werden. AWS KMS macht es einfach, einen CMK für Kinesis zu verwenden, der von AWS einem benutzerdefinierten AWS KMS CMK oder einem in den AWS KMS Service importierten Masterschlüssel verwaltet wird.

Anmerkung

Bei der serverseitigen Verschlüsselung werden eingehende Daten nur dann verschlüsselt, wenn die Funktion aktiviert ist. Bereits in einem nicht verschlüsselten Stream vorhandene Daten werden nach Aktivierung der serverseitigen Verschlüsselung nicht verschlüsselt.

Wenn Sie Ihre Datenströme verschlüsseln und den Zugriff mit anderen Principals teilen, müssen Sie die entsprechenden Berechtigungen sowohl in der Schlüsselrichtlinie für den Schlüssel als auch in den AWS KMS IAM Richtlinien für das externe Konto erteilen. Weitere Informationen finden Sie unter Zulassen, dass Benutzer mit anderen Konten einen KMS Schlüssel verwenden.

Wenn Sie die serverseitige Verschlüsselung für einen Datenstrom mit AWS verwaltetem KMS Schlüssel aktiviert haben und den Zugriff über eine Ressourcenrichtlinie gemeinsam nutzen möchten, müssen Sie zur Verwendung des vom Kunden verwalteten Schlüssels (CMK) wechseln, wie im Folgenden dargestellt:

Encryption settings interface with options for server-side encryption and customer-managed CMK.

Darüber hinaus müssen Sie den für die gemeinsame Nutzung verantwortlichen Entitäten den Zugriff auf Ihre Daten gewährenCMK, indem Sie Funktionen für die KMS kontenübergreifende gemeinsame Nutzung nutzen. Stellen Sie sicher, dass Sie die Änderungen auch in den IAM Richtlinien für die gemeinsam genutzten Haupteinheiten vornehmen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels gestatten.