Perlindungan data di Kinesis Video Streams - Amazon Kinesis Video Streams
Apa itu enkripsi sisi server untuk Kinesis Video Streams?Biaya, Wilayah, dan pertimbangan kinerjaBagaimana cara memulai dengan enkripsi sisi server?Membuat dan menggunakan kunci yang dikelola pelangganIzin untuk menggunakan kunci yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Kinesis Video Streams

Anda dapat menggunakan kunci enkripsi sisi server (SSE) menggunakan AWS Key Management Service (AWS KMS) untuk memenuhi persyaratan manajemen data yang ketat dengan mengenkripsi data Anda saat istirahat di Amazon Kinesis Video Streams.

Apa itu enkripsi sisi server untuk Kinesis Video Streams?

Enkripsi sisi server adalah fitur di Kinesis Video Streams yang secara otomatis mengenkripsi data sebelum disimpan saat istirahat menggunakan kunci yang Anda tentukan. AWS KMS Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis Video Streams, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda selalu dienkripsi saat diam dalam layanan Kinesis Video Streams.

Dengan enkripsi sisi server, produsen dan konsumen aliran video Kinesis Anda tidak perlu mengelola KMS kunci atau operasi kriptografi. Jika retensi data diaktifkan, data Anda secara otomatis dienkripsi saat masuk dan keluar dari Kinesis Video Streams, sehingga data Anda saat istirahat dienkripsi. AWS KMS menyediakan semua kunci yang digunakan oleh fitur enkripsi sisi server. AWS KMS merampingkan penggunaan KMS kunci untuk Kinesis Video Streams yang dikelola AWS oleh, kunci yang ditentukan AWS KMS pengguna yang diimpor ke layanan. AWS KMS

Biaya, Wilayah, dan pertimbangan kinerja

Saat Anda menerapkan enkripsi sisi server, Anda dikenakan biaya AWS KMS API penggunaan dan biaya utama. Tidak seperti AWS KMS kunci khusus, (Default) aws/kinesis-video KMS kunci ditawarkan tanpa biaya. Namun, Anda tetap harus membayar biaya API penggunaan yang dikeluarkan Kinesis Video Streams atas nama Anda.

APIbiaya penggunaan berlaku untuk setiap KMS kunci, termasuk yang khusus. Skala AWS KMS biaya dengan jumlah kredensil pengguna yang Anda gunakan pada produsen data dan konsumen Anda karena setiap kredensi pengguna memerlukan panggilan unikAPI. AWS KMS

Berikut ini menjelaskan biaya berdasarkan sumber daya:

Kunci

  • KMSKunci untuk Kinesis Video Streams yang AWS dikelola oleh (aws/kinesis-videoalias =) tidak dikenakan biaya.

  • KMSKunci yang dibuat pengguna dikenakan biaya. AWS KMS key Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service.

AWS KMS APIpenggunaan

APIpermintaan untuk menghasilkan kunci enkripsi data baru atau untuk mengambil kunci enkripsi yang ada meningkat seiring dengan peningkatan lalu lintas, dan dikenakan biaya AWS KMS penggunaan. Untuk informasi selengkapnya, lihat AWS Key Management Service Harga: Penggunaan.

Kinesis Video Streams menghasilkan permintaan kunci bahkan ketika retensi disetel ke 0 (tidak ada retensi).

Ketersediaan enkripsi sisi server menurut Wilayah

Enkripsi sisi server dari aliran video Kinesis tersedia di semua tempat Kinesis Video Wilayah AWS Streams tersedia.

Bagaimana cara memulai dengan enkripsi sisi server?

Enkripsi sisi server selalu diaktifkan di Kinesis Video Streams. Jika kunci yang disediakan pengguna tidak ditentukan saat aliran dibuat, Kunci yang dikelola AWS (disediakan oleh Kinesis Video Streams) akan digunakan.

KMSKunci yang disediakan pengguna harus ditetapkan ke aliran video Kinesis saat dibuat. Anda tidak dapat menetapkan kunci yang berbeda ke aliran menggunakan UpdateStreamAPInanti.

Anda dapat menetapkan KMS kunci yang disediakan pengguna ke aliran video Kinesis dengan dua cara:

  • Saat membuat aliran video Kinesis di AWS Management Console, tentukan KMS kunci di tab Enkripsi pada halaman Buat aliran video baru.

  • Saat membuat aliran video Kinesis menggunakan CreateStreamAPI, tentukan ID kunci dalam parameter. KmsKeyId

Membuat dan menggunakan kunci yang dikelola pelanggan

Bagian ini menjelaskan cara membuat dan menggunakan kunci Anda sendiri alih-alih menggunakan KMS kunci yang dikelola oleh Amazon Kinesis Video Streams.

Membuat kunci yang dikelola pelanggan

Untuk informasi tentang cara membuat kunci Anda sendiri, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang. Setelah Anda membuat kunci untuk akun Anda, layanan Kinesis Video Streams mengembalikan kunci ini dalam daftar kunci terkelola Pelanggan.

Menggunakan kunci yang dikelola pelanggan

Setelah izin yang benar diterapkan ke konsumen, produsen, dan administrator Anda, Anda dapat menggunakan KMS kunci kustom sendiri Akun AWS atau lainnya. Akun AWS Semua KMS kunci di akun Anda muncul di daftar kunci terkelola Pelanggan di konsol.

Untuk menggunakan KMS kunci khusus yang terletak di akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Anda juga harus membuat aliran menggunakan file CreateStreamAPI. Anda tidak dapat menggunakan KMS kunci dari akun yang berbeda dalam aliran yang dibuat di konsol.

catatan

KMSKunci tidak dapat diakses sampai GetMedia operasi PutMedia atau dilakukan. Ini memiliki hasil sebagai berikut:

  • Jika kunci yang Anda tentukan tidak ada, CreateStream operasi berhasil, tetapi PutMedia GetMedia operasi pada aliran gagal.

  • Jika Anda menggunakan kunci yang disediakan (aws/kinesis-video), kunci tidak ada di akun Anda sampai yang pertama PutMedia atau GetMedia operasi dilakukan.

Izin untuk menggunakan kunci yang dikelola pelanggan

Sebelum Anda dapat menggunakan enkripsi sisi server dengan kunci yang dikelola pelanggan, Anda harus mengonfigurasi kebijakan KMS kunci untuk mengizinkan enkripsi aliran dan enkripsi serta dekripsi catatan aliran. Untuk contoh dan informasi selengkapnya tentang AWS KMS izin, lihat Izin: Tindakan dan AWS KMS API Referensi Sumber Daya.

catatan

Penggunaan kunci layanan default untuk enkripsi tidak memerlukan penerapan IAM izin khusus.

Sebelum Anda menggunakan kunci yang dikelola pelanggan, verifikasi bahwa produsen dan konsumen aliran video Kinesis Anda (IAMprinsipal) adalah pengguna dalam kebijakan kunci default. AWS KMS Jika tidak, menulis dan membaca dari aliran akan gagal, yang pada akhirnya dapat mengakibatkan kehilangan data, pemrosesan tertunda, atau aplikasi yang macet. Anda dapat mengelola izin untuk KMS kunci menggunakan IAM kebijakan. Untuk informasi selengkapnya, lihat Menggunakan IAM Kebijakan dengan AWS KMS.

Contoh izin produsen

Produser streaming video Kinesis Anda harus memiliki izin: kms:GenerateDataKey

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis-video:PutMedia",
        ],
        "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
    }
  ]
}

Contoh Izin konsumen

Konsumen streaming video Kinesis Anda harus memiliki izin: kms:Decrypt

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis-video:GetMedia",
        ],
        "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
    }
  ]
}