Protection des données dans Amazon Data Firehose - Amazon Data Firehose
Chiffrement côté serveur avec Kinesis Data StreamsChiffrement côté serveur avec Direct PUT ou d'autres sources de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon Data Firehose

Amazon Data Firehose chiffre toutes les données en transit à l'aide d'un protocole. TLS En outre, pour les données stockées dans un espace de stockage intermédiaire pendant le traitement, Amazon Data Firehose chiffre les données à l'aide de la vérification par somme de contrôle AWS Key Management Serviceet vérifie leur intégrité.

Si vous avez des données sensibles, vous pouvez activer le chiffrement des données côté serveur lorsque vous utilisez Amazon Data Firehose. La méthode utilisée dépend de la source de vos données.

Note

Si vous avez besoin de FIPS 140 à 2 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-2.

Chiffrement côté serveur avec Kinesis Data Streams

Lorsque vous envoyez des données de vos producteurs de données vers votre flux de données, Kinesis Data Streams chiffre vos données à l'aide AWS Key Management Service d'une cléAWS KMS() avant de les stocker au repos. Lorsque votre flux Firehose lit les données de votre flux de données, Kinesis Data Streams déchiffre d'abord les données, puis les envoie à Amazon Data Firehose. Amazon Data Firehose met en mémoire tampon les données en mémoire en fonction des indications de mise en mémoire tampon que vous spécifiez. Il diffuse ensuite à vos destinations sans avoir à stocker les données non chiffrées au repos.

Pour plus d'informations sur l'activation du chiffrement côté serveur pour Kinesis Data Streams, consultez Using Server-Side Encryption dans le Guide du développeur Amazon Kinesis Data Streams.

Chiffrement côté serveur avec Direct PUT ou d'autres sources de données

Si vous envoyez des données vers votre flux Firehose en utilisant PutRecordou PutRecordBatch, ou si vous envoyez les données en utilisant AWS IoT Amazon CloudWatch Logs ou CloudWatch Events, vous pouvez activer le chiffrement côté serveur à l'aide de cette opération. StartDeliveryStreamEncryption

Pour arrêter server-side-encryption, utilisez l'StopDeliveryStreamEncryptionopération.

Vous pouvez également l'activer SSE lorsque vous créez le stream Firehose. Pour ce faire, spécifiez à DeliveryStreamEncryptionConfigurationInputquel moment vous invoquez CreateDeliveryStream.

Lorsque CMK c'est le casCUSTOMER_MANAGED_CMK, si le service Amazon Data Firehose n'est pas en mesure de déchiffrer les enregistrements à cause de aKMSNotFoundException, aKMSInvalidStateException, a KMSDisabledException ou aKMSAccessDeniedException, le service attend jusqu'à 24 heures (période de conservation) pour que vous résolviez le problème. Si le problème persiste au-delà de la période de rétention, le service ignore les enregistrements qui ont dépassé la période de rétention et n'ont pas pu être déchiffrés, puis supprime les données. Amazon Data Firehose fournit les quatre CloudWatch indicateurs suivants que vous pouvez utiliser pour suivre les quatre AWS KMS exceptions :

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Pour plus d'informations sur ces quatre métriques, consultez Surveillez Amazon Data Firehose à l'aide de métriques CloudWatch .

Important

Pour chiffrer votre flux Firehose, utilisez la méthode symétrique. CMKs Amazon Data Firehose ne prend pas en charge l'asymétrie. CMKs Pour plus d'informations sur la symétrie et l'asymétrieCMKs, consultez la section À propos de la symétrie et de l'asymétrie CMKs dans le guide du développeur. AWS Key Management Service

Note

Lorsque vous utilisez une clé gérée par le client (CUSTOMER_ MANAGED _CMK) pour activer le chiffrement côté serveur (SSE) pour votre flux Firehose, le service Firehose définit un contexte de chiffrement chaque fois qu'il utilise votre clé. Étant donné que ce contexte de chiffrement représente un cas où une clé appartenant à votre AWS compte a été utilisée, il est enregistré dans les journaux d' AWS CloudTrail événements de votre AWS compte. Ce contexte de chiffrement est généré par le système par le service Firehose. Votre application ne doit émettre aucune hypothèse quant au format ou au contenu du contexte de chiffrement défini par le service Firehose.