Enkripsi di Amazon MWAA - Amazon Managed Workflows for Apache Airflow (MWAA)
Enkripsi diamEnkripsi bergerak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi di Amazon MWAA

Topik berikut menjelaskan bagaimana Amazon MWAA melindungi data Anda saat istirahat, dan dalam perjalanan. Gunakan informasi ini untuk mempelajari cara Amazon MWAA berintegrasi dengan AWS KMS mengenkripsi data saat istirahat, dan cara data dienkripsi menggunakan protokol Transport Layer Security (TLS) dalam perjalanan.

Enkripsi diam

Di AmazonMWAA, data saat istirahat adalah data yang disimpan layanan ke media persisten.

Anda dapat menggunakan kunci yang AWS dimiliki untuk enkripsi data saat istirahat, atau secara opsional memberikan kunci yang dikelola Pelanggan untuk enkripsi tambahan saat Anda membuat lingkungan. Jika Anda memilih untuk menggunakan KMS kunci yang dikelola pelanggan, itu harus berada di akun yang sama dengan AWS sumber daya dan layanan lain yang Anda gunakan dengan lingkungan Anda.

Untuk menggunakan KMS kunci yang dikelola pelanggan, Anda harus melampirkan pernyataan kebijakan yang diperlukan untuk CloudWatch akses ke kebijakan utama Anda. Saat Anda menggunakan KMS kunci yang dikelola pelanggan untuk lingkungan Anda, Amazon MWAA melampirkan empat hibah atas nama Anda. Untuk informasi selengkapnya tentang hibah yang MWAA dilampirkan Amazon ke KMS kunci terkelola pelanggan, lihat Kunci terkelola pelanggan untuk enkripsi data.

Jika Anda tidak menentukan KMS kunci yang dikelola pelanggan, secara default, Amazon MWAA menggunakan KMS kunci yang AWS dimiliki untuk mengenkripsi dan mendekripsi data Anda. Sebaiknya gunakan KMS kunci yang AWS dimiliki untuk mengelola enkripsi data di AmazonMWAA.

catatan

Anda membayar penyimpanan dan penggunaan KMS kunci AWS milik, atau yang dikelola pelanggan di AmazonMWAA. Untuk informasi selengkapnya, silakan lihat Harga AWS KMS.

Artefak enkripsi

Anda menentukan artefak enkripsi yang digunakan untuk enkripsi saat istirahat dengan menentukan kunci yang AWS dimiliki atau kunci yang dikelola Pelanggan saat Anda membuat lingkungan AmazonMWAA. Amazon MWAA menambahkan hibah yang diperlukan ke kunci yang Anda tentukan.

Amazon S3 - Data Amazon S3 dienkripsi pada tingkat objek menggunakan Enkripsi Sisi Server (). SSE Enkripsi dan dekripsi Amazon S3 berlangsung di bucket Amazon S3 tempat DAG kode dan file pendukung Anda disimpan. Objek dienkripsi saat diunggah ke Amazon S3 dan didekripsi saat diunduh ke lingkungan Amazon Anda. MWAA Secara default, jika Anda menggunakan KMS kunci yang dikelola pelanggan, Amazon MWAA menggunakannya untuk membaca dan mendekripsi data di bucket Amazon S3 Anda.

CloudWatch Log — Jika Anda menggunakan KMS kunci yang AWS dimiliki, log Apache Airflow yang dikirim ke CloudWatch Log dienkripsi menggunakan Server-Side Encryption () SSE dengan kunci milik Log. CloudWatch AWS KMS Jika Anda menggunakan KMS kunci yang dikelola pelanggan, Anda harus menambahkan kebijakan kunci ke KMS kunci Anda agar CloudWatch Log dapat menggunakan kunci Anda.

Amazon SQS — Amazon MWAA membuat satu SQS antrian Amazon untuk lingkungan Anda. Amazon MWAA menangani enkripsi data yang diteruskan ke dan dari antrian menggunakan Server-Side Encryption (SSE) dengan kunci yang AWS dimiliki, atau KMS kunci terkelola pelanggan yang Anda tentukan. KMS Anda harus menambahkan SQS izin Amazon ke peran eksekusi terlepas dari apakah Anda menggunakan KMS kunci AWS milik atau yang dikelola pelanggan.

Aurora Postgre SQL — MWAA Amazon membuat satu cluster SQL Postgre untuk lingkungan Anda. Aurora Postgre SQL mengenkripsi konten dengan KMS kunci AWS milik atau yang dikelola pelanggan menggunakan Enkripsi Sisi Server (). SSE Jika Anda menggunakan KMS kunci yang dikelola pelanggan, Amazon RDS menambahkan setidaknya dua hibah ke kunci: satu untuk cluster dan satu untuk instance database. Amazon RDS dapat membuat hibah tambahan jika Anda memilih untuk menggunakan KMS kunci yang dikelola pelanggan di beberapa lingkungan. Untuk informasi selengkapnya, lihat Perlindungan data di Amazon RDS.

Enkripsi bergerak

Data dalam perjalanan disebut sebagai data yang dapat dicegat saat melakukan perjalanan jaringan.

Transport Layer Security (TLS) mengenkripsi MWAA objek Amazon dalam perjalanan antara komponen Apache Airflow lingkungan Anda dan AWS layanan lain yang terintegrasi dengan Amazon. seperti Amazon MWAA S3. Untuk informasi selengkapnya tentang enkripsi Amazon S3, lihat Melindungi data menggunakan enkripsi.