Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat menggunakan enkripsi sisi server (SSE) menggunakan AWS Key Management Service kunci () untuk memenuhi persyaratan manajemen data yang ketat dengan mengenkripsi data Anda saat istirahat di Amazon Kinesis Video Streams.AWS KMS
Topik
Apa itu enkripsi sisi server untuk Kinesis Video Streams?
Enkripsi sisi server adalah fitur di Kinesis Video Streams yang secara otomatis mengenkripsi data sebelum disimpan saat istirahat menggunakan kunci yang Anda tentukan. AWS KMS Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis Video Streams, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda selalu dienkripsi saat diam dalam layanan Kinesis Video Streams.
Dengan enkripsi sisi server, produsen dan konsumen aliran video Kinesis Anda tidak perlu mengelola kunci KMS atau operasi kriptografi. Jika retensi data diaktifkan, data Anda secara otomatis dienkripsi saat masuk dan keluar dari Kinesis Video Streams, sehingga data Anda saat istirahat dienkripsi. AWS KMS menyediakan semua kunci yang digunakan oleh fitur enkripsi sisi server. AWS KMS merampingkan penggunaan kunci KMS untuk Kinesis Video Streams yang dikelola AWS oleh, kunci yang ditentukan pengguna yang diimpor ke AWS KMS layanan. AWS KMS
Biaya, Wilayah, dan pertimbangan kinerja
Saat Anda menerapkan enkripsi sisi server, Anda tunduk pada penggunaan AWS KMS API dan biaya utama. Tidak seperti AWS KMS kunci khusus, kunci aws/kinesisvideo KMS default ditawarkan tanpa biaya. Namun, Anda tetap harus membayar biaya penggunaan API yang dikeluarkan Kinesis Video Streams atas nama Anda.
Biaya penggunaan API berlaku untuk setiap kunci KMS, termasuk yang khusus. Skala AWS KMS biaya dengan jumlah kredensyal pengguna yang Anda gunakan pada produsen data dan konsumen Anda karena setiap kredensi pengguna memerlukan panggilan API yang unik. AWS KMS
Berikut ini menjelaskan biaya berdasarkan sumber daya:
Kunci
-
Kunci KMS untuk Kinesis Video Streams yang dikelola AWS oleh (alias
aws/kinesisvideo=) tidak dikenakan biaya. -
Kunci KMS buatan pengguna dikenakan biaya. AWS KMS key Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service
.
AWS KMS Penggunaan API
Permintaan API untuk menghasilkan kunci enkripsi data baru atau untuk mengambil kunci enkripsi yang ada meningkat seiring dengan peningkatan lalu lintas, dan dikenakan biaya AWS KMS penggunaan. Untuk informasi selengkapnya, lihat AWS Key Management Service Harga: Penggunaan
Kinesis Video Streams menghasilkan permintaan kunci bahkan ketika retensi disetel ke 0 (tidak ada retensi).
Ketersediaan enkripsi sisi server menurut Wilayah
Enkripsi sisi server dari aliran video Kinesis tersedia di semua tempat Kinesis Video Wilayah AWS Streams tersedia.
Bagaimana cara memulai dengan enkripsi sisi server?
Enkripsi sisi server selalu diaktifkan di Kinesis Video Streams. Jika kunci yang disediakan pengguna tidak ditentukan saat aliran dibuat, Kunci yang dikelola AWS (disediakan oleh Kinesis Video Streams) akan digunakan.
Kunci KMS yang disediakan pengguna harus ditetapkan ke aliran video Kinesis saat dibuat. Anda tidak dapat menetapkan kunci yang berbeda ke aliran menggunakan UpdateStreamAPI nanti.
Anda dapat menetapkan kunci KMS yang disediakan pengguna ke aliran video Kinesis dengan dua cara:
-
Saat membuat aliran video Kinesis di AWS Management Console, tentukan kunci KMS di tab Enkripsi pada halaman Buat aliran video baru.
-
Saat membuat aliran video Kinesis menggunakan CreateStreamAPI, tentukan ID kunci dalam parameter.
KmsKeyId
Membuat dan menggunakan kunci yang dikelola pelanggan
Bagian ini menjelaskan cara membuat dan menggunakan kunci KMS Anda sendiri alih-alih menggunakan kunci yang dikelola oleh Amazon Kinesis Video Streams.
Membuat kunci yang dikelola pelanggan
Untuk informasi tentang cara membuat kunci Anda sendiri, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang. Setelah Anda membuat kunci untuk akun Anda, layanan Kinesis Video Streams mengembalikan kunci ini dalam daftar kunci terkelola Pelanggan.
Menggunakan kunci yang dikelola pelanggan
Setelah izin yang benar diterapkan ke konsumen, produsen, dan administrator Anda, Anda dapat menggunakan kunci KMS kustom sendiri Akun AWS atau yang lain. Akun AWS Semua kunci KMS di akun Anda muncul di daftar kunci terkelola Pelanggan di konsol.
Untuk menggunakan kunci KMS khusus yang terletak di akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Anda juga harus membuat aliran menggunakan CreateStream API. Anda tidak dapat menggunakan kunci KMS dari akun yang berbeda dalam aliran yang dibuat di konsol.
catatan
Kunci KMS tidak diakses sampai GetMedia operasi PutMedia atau dilakukan. Ini memiliki hasil sebagai berikut:
-
Jika kunci yang Anda tentukan tidak ada,
CreateStreamoperasi berhasil, tetapiPutMediaGetMediaoperasi pada aliran gagal. -
Jika Anda menggunakan kunci yang disediakan (
aws/kinesisvideo), kunci tidak ada di akun Anda sampai yang pertamaPutMediaatauGetMediaoperasi dilakukan.
Izin untuk menggunakan kunci terkelola pelanggan
Sebelum Anda dapat menggunakan enkripsi sisi server dengan kunci yang dikelola pelanggan, Anda harus mengonfigurasi kebijakan kunci KMS untuk mengizinkan enkripsi aliran dan enkripsi serta dekripsi catatan aliran. Untuk contoh dan informasi selengkapnya tentang AWS KMS izin, lihat Izin AWS KMS API: Tindakan dan Referensi Sumber Daya.
catatan
Penggunaan kunci layanan default untuk enkripsi tidak memerlukan penerapan izin IAM khusus.
Sebelum Anda menggunakan kunci yang dikelola pelanggan, verifikasi bahwa produsen dan konsumen aliran video Kinesis Anda (prinsip IAM) adalah pengguna dalam kebijakan kunci default. AWS KMS Jika tidak, menulis dan membaca dari aliran akan gagal, yang pada akhirnya dapat mengakibatkan kehilangan data, pemrosesan tertunda, atau aplikasi yang macet. Anda dapat mengelola izin untuk kunci KMS menggunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan IAM dengan AWS KMS.
Contoh izin produsen
Produser streaming video Kinesis Anda harus memiliki izin: kms:GenerateDataKey
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kinesis-video:PutMedia",
],
"Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
}
]
}Contoh Izin konsumen
Konsumen streaming video Kinesis Anda harus memiliki izin: kms:Decrypt
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kinesis-video:GetMedia",
],
"Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
}
]
}