MSKChiffrement Amazon - Amazon Managed Streaming for Apache Kafka
Chiffrement au reposChiffrement en transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

MSKChiffrement Amazon

Amazon MSK propose des options de chiffrement des données que vous pouvez utiliser pour répondre à des exigences strictes en matière de gestion des données. Les certificats MSK utilisés par Amazon pour le chiffrement doivent être renouvelés tous les 13 mois. Amazon renouvelle MSK automatiquement ces certificats pour tous les clusters. L'état du cluster est définit en tant que MAINTENANCE lorsque l'opération de mise à jour des certificats démarre. Puis, l’état sera remis sur ACTIVE à la fin de la mise à jour. Lorsque l’état d’un cluster est MAINTENANCE, vous pouvez continuer à produire et à consommer des données mais vous ne pouvez pas effectuer d'opérations de mise à jour sur celui-ci.

Chiffrement au repos

Amazon MSK s'intègre à AWS Key Management Service(KMS) pour proposer un chiffrement transparent côté serveur. Amazon chiffre MSK toujours vos données au repos. Lorsque vous créez un MSK cluster, vous pouvez spécifier celui AWS KMS key que vous souhaitez qu'Amazon utilise MSK pour chiffrer vos données au repos. Si vous ne spécifiez pas de KMS clé, Amazon en MSK crée une Clé gérée par AWSpour vous et l'utilise en votre nom. Pour plus d'informations sur KMS les clés, consultez AWS KMS keysle guide du AWS Key Management Service développeur.

Chiffrement en transit

Amazon MSK utilise la TLS version 1.2. Par défaut, il chiffre les données en transit entre les courtiers de votre MSK cluster. Vous pouvez remplacer cette valeur par défaut au moment de la création du cluster.

Pour la communication entre clients et brokers, vous devez spécifier l'un des trois paramètres suivants :

  • N'autorisez que les données TLS cryptées. Il s’agit du paramètre par défaut.

  • Autorisez à la fois le texte brut et les données TLS cryptées.

  • Autoriser uniquement les données en texte brut.

MSKLes courtiers Amazon utilisent des AWS Certificate Manager certificats publics. Par conséquent, tout truststore qui fait confiance à Amazon Trust Services fait également confiance aux certificats des MSK courtiers Amazon.

Bien que nous recommandions vivement d'activer le chiffrement en transit, cela peut entraîner une CPU surcharge supplémentaire et une latence de quelques millisecondes. La plupart des cas d'utilisation ne sont toutefois pas sensibles à ces différences, cependant l'ampleur de l'impact dépend de la configuration du cluster, des clients et du profil d'utilisation.