Chiffrement Amazon MSK - Amazon Managed Streaming for Apache Kafka
Chiffrement Amazon MSK au reposChiffrement Amazon MSK en transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement Amazon MSK

Amazon MSK fournit des options de chiffrement des données que vous pouvez utiliser pour répondre à des exigences strictes en matière de gestion des données. Les certificats utilisés par Amazon MSK pour le chiffrement doivent être renouvelés tous les 13 mois. Amazon MSK renouvelle automatiquement ces certificats pour tous les clusters. L'état du cluster est définit en tant que MAINTENANCE lorsque l'opération de mise à jour des certificats démarre. Puis, l’état sera remis sur ACTIVE à la fin de la mise à jour. Lorsque l’état d’un cluster est MAINTENANCE, vous pouvez continuer à produire et à consommer des données mais vous ne pouvez pas effectuer d'opérations de mise à jour sur celui-ci.

Chiffrement Amazon MSK au repos

Amazon MSK s'intègre à AWS Key Management Service (KMS) pour permettre le chiffrement transparent côté serveur. Amazon MSK chiffre toujours vos données au repos. Lorsque vous créez un cluster MSK, vous pouvez spécifier la AWS KMS key que vous souhaitez qu'Amazon MSK utilise pour chiffrer vos données au repos. Si vous ne spécifiez pas de clé KMS, Amazon MSK crée une Clé gérée par AWS pour vous et l'utilise en votre nom. Pour plus d'informations sur les clés KMS, consultez AWS KMS keys dans le Guide du développeur AWS Key Management Service .

Chiffrement Amazon MSK en transit

Amazon MSK utilise TLS 1.2. Par défaut, il chiffre les données en transit entre les agents de votre cluster MSK. Vous pouvez remplacer cette valeur par défaut au moment de la création du cluster.

Pour la communication entre clients et brokers, vous devez spécifier l'un des trois paramètres suivants :

  • Autoriser uniquement les données chiffrées TLS. Il s’agit du paramètre par défaut.

  • Autoriser à la fois le texte brut, ainsi que les données chiffrées TLS.

  • Autoriser uniquement les données en texte brut.

Les courtiers Amazon MSK utilisent des AWS Certificate Manager certificats publics. Par conséquent, tout magasin fiable qui fait confiance à Amazon Trust Services approuve également les certificats des agents Amazon MSK.

Bien que nous vous recommandions d'activer le chiffrement en transit, celui-ci peut entraîner des charges supplémentaires d'UC et quelques millisecondes de latence. La plupart des cas d'utilisation ne sont toutefois pas sensibles à ces différences, cependant l'ampleur de l'impact dépend de la configuration du cluster, des clients et du profil d'utilisation.