Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection des données dans Kinesis Video Streams
Vous pouvez utiliser le chiffrement côté serveur (SSE) à l'aide de clés AWS Key Management Service (AWS KMS) pour répondre à des exigences strictes en matière de gestion des données en chiffrant vos données au repos dans Amazon Kinesis Video Streams.
Rubriques
Qu'est-ce que le chiffrement côté serveur pour Kinesis Video Streams ?
Le chiffrement côté serveur est une fonctionnalité de Kinesis Video Streams qui chiffre automatiquement les données avant qu'elles ne soient stockées au repos à l'aide d'une AWS KMS clé que vous spécifiez. Les données sont chiffrées avant d'être écrites dans la couche de stockage des flux Kinesis Video Streams, et elles sont déchiffrées une fois extraites du stockage. Par conséquent, vos données sont toujours chiffrées au repos dans le service Kinesis Video Streams.
Grâce au chiffrement côté serveur, les producteurs et les consommateurs de vos flux vidéo Kinesis n'ont pas besoin de gérer les KMS clés ou les opérations cryptographiques. Si la conservation des données est activée, vos données sont automatiquement cryptées lorsqu'elles entrent dans Kinesis Video Streams et en sortent. Vos données inactives sont donc cryptées. AWS KMS fournit toutes les clés utilisées par la fonction de chiffrement côté serveur. AWS KMS rationalise l'utilisation d'une KMS clé pour Kinesis Video Streams gérée AWS par une clé AWS KMS spécifiée par l'utilisateur importée dans le service. AWS KMS
Considérations relatives aux coûts, aux régions et aux performances
Lorsque vous appliquez le chiffrement côté serveur, vous êtes soumis à des coûts d' AWS KMS APIutilisation et de clé. Contrairement aux AWS KMS clés personnalisées, la (Default) aws/kinesis-video KMS clé est offerte gratuitement. Toutefois, vous devez toujours payer les frais API d'utilisation engagés par Kinesis Video Streams en votre nom.
APIdes frais d'utilisation s'appliquent à chaque KMS clé, y compris les clés personnalisées. Les AWS KMS coûts varient en fonction du nombre d'informations d'identification utilisateur que vous utilisez pour vos producteurs et consommateurs de données, car chaque identifiant d'utilisateur nécessite un API appel unique. AWS KMS
Voici une description des coûts par ressource :
Clés
-
La KMS clé pour Kinesis Video Streams gérée AWS par (alias
aws/kinesis-video=) est gratuite. -
Les KMS clés générées par l'utilisateur sont soumises à des AWS KMS key frais. Pour plus d'informations, consultez AWS Key Management Service Pricing
(Tarification CTlong).
AWS KMS APIutilisation
APIles demandes visant à générer de nouvelles clés de chiffrement des données ou à récupérer des clés de chiffrement existantes augmentent à mesure que le trafic augmente, et sont soumises à des coûts AWS KMS d'utilisation. Pour plus d'informations, voir AWS Key Management Service Tarification : utilisation
Kinesis Video Streams génère des demandes clés même lorsque la rétention est définie sur 0 (aucune rétention).
Disponibilité du chiffrement côté serveur par région
Le chiffrement des flux vidéo Kinesis côté serveur est disponible partout où Kinesis Régions AWS Video Streams est disponible.
Comment démarrer avec le chiffrement côté serveur ?
Le chiffrement côté serveur est toujours activé sur Kinesis Video Streams. Si aucune clé fournie par l'utilisateur n'est spécifiée lors de la création du flux, la Clé gérée par AWS (fournie par Kinesis Video Streams) est utilisée.
Une KMS clé fournie par l'utilisateur doit être attribuée à un flux vidéo Kinesis lors de sa création. Vous ne pouvez pas attribuer une clé différente à un flux à l'aide de UpdateStreamAPIcette dernière.
Vous pouvez attribuer une KMS clé fournie par l'utilisateur à un flux vidéo Kinesis de deux manières :
-
Lorsque vous créez un flux vidéo Kinesis dans le AWS Management Console, spécifiez la KMS clé dans l'onglet Chiffrement de la page Créer un nouveau flux vidéo.
-
Lorsque vous créez un flux vidéo Kinesis à l'aide du CreateStreamAPI, spécifiez l'ID de clé dans le
KmsKeyIdparamètre.
Création et utilisation d'une clé gérée par le client
Cette section explique comment créer et utiliser vos propres KMS clés au lieu d'utiliser la clé administrée par Amazon Kinesis Video Streams.
Création d'une clé gérée par le client
Pour plus d'informations sur la création de vos propres clés, consultez la section Création de clés dans le guide du AWS Key Management Service développeur. Une fois que vous avez créé les clés de votre compte, le service Kinesis Video Streams les renvoie dans la liste des clés gérées par le client.
Utilisation d'une clé gérée par le client
Une fois que les autorisations appropriées ont été appliquées à vos consommateurs, producteurs et administrateurs, vous pouvez utiliser vos propres KMS clés Compte AWS ou celles d'une autre Compte AWS. Toutes les KMS clés de votre compte apparaissent dans la liste des clés gérées par le client sur la console.
Pour utiliser des KMS clés personnalisées situées dans un autre compte, vous devez être autorisé à utiliser ces clés. Vous devez également créer le flux à l'aide du CreateStreamAPI. Vous ne pouvez pas utiliser KMS les clés de différents comptes dans les flux créés dans la console.
Note
La KMS clé n'est pas accessible tant que l'GetMediaopération PutMedia or n'est pas effectuée. Ceci génère les résultats suivants :
-
Si la clé que vous spécifiez n'existe pas, l'
CreateStreamopération réussit, maisPutMedialesGetMediaopérations sur le flux échouent. -
Si vous utilisez la clé fournie (
aws/kinesis-video), elle n'est pas présente dans votre compte tant que la premièrePutMediaGetMediaopération n'est pas effectuée.
Autorisations d'utilisation d'une clé gérée par le client
Avant de pouvoir utiliser le chiffrement côté serveur avec une clé gérée par le client, vous devez configurer des politiques KMS clés pour autoriser le chiffrement des flux ainsi que le chiffrement et le déchiffrement des enregistrements des flux. Pour des exemples et plus d'informations sur AWS KMS les autorisations, voir AWS KMS APIAutorisations : référence sur les actions et les ressources.
Note
L'utilisation de la clé de service par défaut pour le chiffrement ne nécessite pas l'application d'IAMautorisations personnalisées.
Avant d'utiliser une clé gérée par le client, vérifiez que les producteurs et les consommateurs (IAMprincipaux) de vos flux vidéo Kinesis sont des utilisateurs conformément à la politique de clé AWS KMS par défaut. Si ce n'est pas le cas, les écritures et les lectures à partir d'un flux échoueront, ce qui pourrait entraîner la perte de données, des retards de traitement ou la suspension d'applications. Vous pouvez gérer les autorisations relatives aux KMS clés à l'aide IAM de politiques. Pour plus d'informations, consultez la section Utilisation IAM de politiques avec AWS KMS.
Exemple d'autorisations pour les producteurs
Les producteurs de vos flux vidéo Kinesis doivent être autorisés à : kms:GenerateDataKey
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
Exemples d'autorisations accordées aux consommateurs
Les utilisateurs de votre flux vidéo Kinesis doivent être autorisés à : kms:Decrypt
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
