Perlindungan data di Amazon Data Firehose - Amazon Data Firehose
Enkripsi sisi server dengan Kinesis Data StreamsEnkripsi sisi server dengan Direct PUT atau sumber data lainnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon Data Firehose

Amazon Data Firehose mengenkripsi semua data dalam perjalanan menggunakan protokol. TLS Selanjutnya, untuk data yang disimpan dalam penyimpanan sementara selama pemrosesan, Amazon Data Firehose mengenkripsi data AWS Key Management Servicemenggunakan dan memverifikasi integritas data menggunakan verifikasi checksum.

Jika memiliki data sensitif, Anda dapat mengaktifkan enkripsi data sisi server saat menggunakan Amazon Data Firehose. Cara Anda melakukannya tergantung pada sumber data Anda.

catatan

Jika Anda memerlukan FIPS 140-2 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Enkripsi sisi server dengan Kinesis Data Streams

Saat Anda mengirim data dari produsen data ke aliran data Anda, Kinesis Data Streams mengenkripsi data Anda AWS Key Management Service menggunakan kunci () sebelum AWS KMS menyimpan data saat istirahat. Saat Firehose stream Anda membaca data dari aliran data Anda, Kinesis Data Streams pertama-tama mendekripsi data dan kemudian mengirimkannya ke Amazon Data Firehose. Amazon Data Firehose menyangga data dalam memori berdasarkan petunjuk buffering yang Anda tentukan. Alat ini kemudian mengirimkannya ke tujuan Anda tanpa menyimpan data at rest yang tidak terenkripsi.

Untuk informasi tentang cara mengaktifkan enkripsi sisi server untuk Kinesis Data Streams, lihat Menggunakan Enkripsi Sisi Server dalam Panduan Developer Amazon Kinesis Data Streams.

Enkripsi sisi server dengan Direct PUT atau sumber data lainnya

Jika Anda mengirim data ke aliran Firehose menggunakan PutRecordatau PutRecordBatch, atau jika Anda mengirim data menggunakan, CloudWatch Log AWS IoT Amazon, atau CloudWatch Acara, Anda dapat mengaktifkan enkripsi sisi server dengan menggunakan operasi. StartDeliveryStreamEncryption

Untuk berhenti server-side-encryption, gunakan StopDeliveryStreamEncryptionoperasi.

Anda juga dapat mengaktifkan SSE saat membuat aliran Firehose. Untuk melakukan itu, tentukan DeliveryStreamEncryptionConfigurationInputkapan Anda memanggil CreateDeliveryStream.

Ketika jenis CMK iniCUSTOMER_MANAGED_CMK, jika layanan Amazon Data Firehose tidak dapat mendekripsi catatan karenaKMSNotFoundException, a, aKMSInvalidStateException, atau a KMSDisabledExceptionKMSAccessDeniedException, layanan menunggu hingga 24 jam (periode penyimpanan) bagi Anda untuk menyelesaikan masalah. Jika masalah berlanjut melampaui periode retensi, layanan akan melompati catatan yang telah melewati periode retensi dan tidak dapat didekripsi, kemudian membuang data tersebut. Amazon Data Firehose menyediakan empat CloudWatch metrik berikut yang dapat Anda gunakan untuk melacak empat pengecualian: AWS KMS

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Untuk informasi selengkapnya tentang keempat metrik ini, lihat Pantau Amazon Data Firehose dengan metrik CloudWatch .

penting

Untuk mengenkripsi aliran Firehose Anda, gunakan simetris. CMKs Amazon Data Firehose tidak mendukung asimetris. CMKs Untuk informasi tentang simetris dan asimetrisCMKs, lihat Tentang Simetris dan Asimetris CMKs dalam panduan pengembang. AWS Key Management Service

catatan

Bila Anda menggunakan kunci terkelola pelanggan (CUSTOMER_ MANAGED _CMK) untuk mengaktifkan enkripsi sisi server (SSE) untuk aliran Firehose Anda, layanan Firehose akan menetapkan konteks enkripsi setiap kali menggunakan kunci Anda. Karena konteks enkripsi ini mewakili kejadian di mana kunci yang dimiliki oleh AWS akun Anda digunakan, itu dicatat sebagai bagian dari log AWS CloudTrail peristiwa untuk AWS akun Anda. Konteks enkripsi ini adalah sistem yang dihasilkan oleh layanan Firehose. Aplikasi Anda tidak boleh membuat asumsi apa pun tentang format atau konten konteks enkripsi yang ditetapkan oleh layanan Firehose.