Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección de datos en Kinesis Video Streams
Puede utilizar el cifrado del lado del servidor (SSE) mediante claves AWS Key Management Service (AWS KMS) para cumplir con los estrictos requisitos de administración de datos cifrando los datos en reposo en Amazon Kinesis Video Streams.
Temas
¿Qué es el cifrado del lado del servidor para Kinesis Video Streams?
El cifrado del lado del servidor es una función de Kinesis Video Streams que cifra automáticamente los datos antes de almacenarlos en reposo mediante una AWS KMS clave que usted especifique. Los datos se cifran antes de escribirse en la capa de almacenamiento de transmisiones de Kinesis Video Streams y se descifran una vez recuperados del almacenamiento. Como resultado, sus datos siempre se cifran en reposo en el servicio Kinesis Video Streams.
Con el cifrado del lado del servidor, los productores y consumidores de transmisiones de vídeo de Kinesis no necesitan gestionar KMS claves ni operaciones criptográficas. Si la retención de datos está habilitada, los datos se cifran automáticamente al entrar y salir de Kinesis Video Streams, por lo que los datos en reposo se cifran. AWS KMS proporciona todas las claves que utiliza la función de cifrado del lado del servidor. AWS KMS simplifica el uso de una KMS clave para Kinesis Video Streams que se administra AWS mediante una clave AWS KMS especificada por el usuario importada al servicio. AWS KMS
Cuestiones sobre costos, regiones y rendimiento
Al aplicar el cifrado del lado del servidor, está sujeto a AWS KMS API los costes de uso y de clave. A diferencia de AWS KMS las claves personalizadas, la (Default) aws/kinesis-video
KMS clave se ofrece sin cargo alguno. Sin embargo, aún debe pagar por usted los costes API de uso en los que incurra Kinesis Video Streams.
APIse aplican costes de uso a todas las KMS claves, incluidas las personalizadas. Los AWS KMS costes aumentan en función del número de credenciales de usuario que utilice en los productores y consumidores de datos, ya que cada credencial de usuario requiere una API llamada única al AWS KMS.
A continuación se describen los costos por recurso:
Claves
-
La KMS clave de Kinesis Video Streams gestionada AWS por (alias
aws/kinesis-video
=) es gratuita. -
KMSLas claves generadas por los usuarios están sujetas a AWS KMS key costes. Para obtener más información, consulte AWS Key Management Service Precios
.
Uso de AWS KMS API
APIlas solicitudes para generar nuevas claves de cifrado de datos o para recuperar las claves de cifrado existentes aumentan a medida que aumenta el tráfico y están sujetas a los costes AWS KMS de uso. Para obtener más información, consulte AWS Key Management Service Precios: uso
Kinesis Video Streams genera solicitudes clave incluso cuando la retención está establecida en 0 (sin retención).
Disponibilidad del cifrado en el servidor por región
El cifrado del lado del servidor de las transmisiones de vídeo de Kinesis está disponible en todos los sitios donde esté disponible Kinesis Regiones de AWS Video Streams.
¿Cómo puedo comenzar a usar el cifrado en el servidor?
El cifrado del lado del servidor siempre está activado en Kinesis Video Streams. Si no se especifica una clave proporcionada por el usuario al crear la transmisión, se utiliza la Clave administrada de AWS (proporcionada por Kinesis Video Streams).
Se debe asignar una KMS clave proporcionada por el usuario a una transmisión de vídeo de Kinesis al crearla. No puede asignar una clave diferente a una transmisión mediante esta última UpdateStreamAPI.
Puede asignar una KMS clave proporcionada por el usuario a una transmisión de vídeo de Kinesis de dos maneras:
-
Al crear una transmisión de vídeo de Kinesis en AWS Management Console, especifique la KMS clave en la pestaña Cifrado de la página Crear una nueva transmisión de vídeo.
-
Al crear una transmisión de vídeo de Kinesis mediante CreateStreamAPI, especifique el ID de clave en el
KmsKeyId
parámetro.
Crear y usar una clave gestionada por el cliente
En esta sección se describe cómo crear y utilizar sus propias KMS claves en lugar de utilizar la clave administrada por Amazon Kinesis Video Streams.
Creación de una clave administrada por el cliente
Para obtener información sobre cómo crear sus propias claves, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores. Tras crear las claves para su cuenta, el servicio Kinesis Video Streams las devuelve a la lista de claves gestionadas por el cliente.
Uso de claves administradas por el cliente
Una vez que se hayan aplicado los permisos correctos a sus consumidores, productores y administradores, podrá utilizar KMS las claves personalizadas propias Cuenta de AWS o Cuenta de AWS ajenas. Todas KMS las claves de su cuenta aparecen en la lista de claves administradas por el cliente de la consola.
Para usar KMS claves personalizadas que estén ubicadas en otra cuenta, debes tener permisos para usarlas. También debes crear la transmisión con CreateStream
API. No puedes usar KMS claves de cuentas diferentes en las transmisiones creadas en la consola.
nota
No se accede a la KMS clave hasta que se realiza la GetMedia
operación PutMedia
o. Así, se obtienen los siguientes resultados:
-
Si la clave que especifique no existe, la
CreateStream
operación se realiza correctamente, peroPutMedia
GetMedia
las operaciones de la transmisión no se realizan correctamente. -
Si utilizas la clave proporcionada (
aws/kinesis-video
), la clave no estará en tu cuenta hasta que no realices la primeraPutMedia
GetMedia
operación.
Permisos para usar una clave administrada por el cliente
Antes de poder utilizar el cifrado del lado del servidor con una clave gestionada por el cliente, debe configurar políticas de KMS claves que permitan el cifrado de las transmisiones y el cifrado y descifrado de los registros de las transmisiones. Para ver ejemplos y más información sobre AWS KMS los permisos, consulte AWS KMS APIPermisos: referencia sobre acciones y recursos.
nota
El uso de la clave de servicio predeterminada para el cifrado no requiere la aplicación de IAM permisos personalizados.
Antes de usar una clave administrada por el cliente, compruebe que los productores y consumidores (IAMdirectores) de la transmisión de vídeo de Kinesis sean usuarios de la política de claves AWS KMS predeterminada. De lo contrario, las labores de escritura y lectura de una secuencia producirán un error, lo que, en definitiva, podría resultar en pérdida de datos, retrasos en el procesamiento, aplicaciones colgadas. Puede administrar los permisos para las claves de KMS con las políticas de IAM. Para obtener más información, consulte Uso de IAM políticas con. AWS KMS
Ejemplo de permisos para productores
Los productores de transmisiones de vídeo de Kinesis deben tener el kms:GenerateDataKey
permiso para:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
Ejemplo de permisos de consumo
Los consumidores de streaming de vídeo de Kinesis deben tener el kms:Decrypt
permiso para:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }