Protezione dei dati in Kinesis Video Streams - Flusso di video Amazon Kinesis

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Kinesis Video Streams

Puoi utilizzare la crittografia lato server (SSE) utilizzando le chiavi AWS Key Management Service (AWS KMS) per soddisfare severi requisiti di gestione dei dati crittografando i dati inattivi in Amazon Kinesis Video Streams.

Cos'è la crittografia lato server per Kinesis Video Streams?

La crittografia lato server è una funzionalità di Kinesis Video Streams che crittografa automaticamente i dati prima che vengano archiviati a riposo utilizzando una chiave specificata dall'utente. AWS KMS I dati vengono crittografati prima di essere scritti sul livello di archiviazione dello stream di Kinesis Video Streams e vengono decrittografati dopo essere stati recuperati dallo storage. Di conseguenza, i tuoi dati sono sempre crittografati quando sono inattivi all'interno del servizio Kinesis Video Streams.

Con la crittografia lato server, i produttori e i consumatori di streaming video Kinesis non devono gestire KMS chiavi o operazioni crittografiche. Se la conservazione dei dati è abilitata, i dati vengono automaticamente crittografati quando entrano ed escono da Kinesis Video Streams, quindi i dati inattivi vengono crittografati. AWS KMS fornisce tutte le chiavi utilizzate dalla funzionalità di crittografia lato server. AWS KMS semplifica l'uso di una KMS chiave per Kinesis Video Streams gestita AWS da, una chiave AWS KMS specificata dall'utente importata nel servizio. AWS KMS

Considerazioni su costi, regioni e prestazioni

Quando si applica la crittografia lato server, si è soggetti ai costi di AWS KMS API utilizzo e delle chiavi. A differenza delle AWS KMS chiavi personalizzate, la (Default) aws/kinesis-video KMS chiave viene offerta gratuitamente. Tuttavia, devi comunque pagare i costi di API utilizzo sostenuti da Kinesis Video Streams per tuo conto.

APIi costi di utilizzo si applicano a ogni KMS chiave, comprese quelle personalizzate. I AWS KMS costi variano in base al numero di credenziali utente utilizzate dai produttori e dai consumatori di dati, poiché ogni credenziale utente richiede una API chiamata unica a. AWS KMS

Di seguito vengono descritti i costi per risorsa:

Chiavi
  • La KMS chiave per Kinesis Video Streams AWS gestita da (aws/kinesis-videoalias =) è gratuita.

  • Le KMS chiavi generate dall'utente sono soggette a costi. AWS KMS key Per ulteriori informazioni, consultare AWS Key Management Service Prezzi.

Utilizzo di AWS KMS API

APIle richieste di generazione di nuove chiavi di crittografia dei dati o di recupero delle chiavi di crittografia esistenti aumentano all'aumentare del traffico e sono soggette ai costi di AWS KMS utilizzo. Per ulteriori informazioni, consulta AWS Key Management Service Prezzi: utilizzo.

Kinesis Video Streams genera richieste chiave anche quando la conservazione è impostata su 0 (nessuna conservazione).

Disponibilità della crittografia lato server per regione

La crittografia lato server dei flussi video Kinesis è disponibile ovunque sia disponibile Kinesis Regioni AWS Video Streams.

Come posso iniziare a usare la crittografia lato server?

La crittografia lato server è sempre abilitata su Kinesis Video Streams. Se al momento della creazione dello stream non viene specificata una chiave fornita dall'utente, viene utilizzata la Chiave gestita da AWS (fornita da Kinesis Video Streams).

Una KMS chiave fornita dall'utente deve essere assegnata a uno stream video Kinesis al momento della creazione. Non puoi assegnare una chiave diversa a uno stream utilizzando quella successiva UpdateStreamAPI.

È possibile assegnare una KMS chiave fornita dall'utente a un flusso video Kinesis in due modi:

  • Quando crei un flusso video Kinesis in AWS Management Console, specifica la KMS chiave nella scheda Crittografia nella pagina Crea un nuovo flusso video.

  • Quando crei uno stream video Kinesis utilizzando CreateStreamAPI, specifica l'ID della chiave nel KmsKeyId parametro.

Creazione e utilizzo di una chiave gestita dal cliente

Questa sezione descrive come creare e utilizzare KMS le proprie chiavi anziché utilizzare la chiave amministrata da Amazon Kinesis Video Streams.

Creazione di una chiave gestita dal cliente

Per informazioni su come creare chiavi personalizzate, consulta Creating Keys nella AWS Key Management Service Developer Guide. Dopo aver creato le chiavi per l'account, il servizio Kinesis Video Streams restituisce queste chiavi nell'elenco delle chiavi gestite dal cliente.

Utilizzo di una chiave gestita dal cliente

Dopo aver applicato le autorizzazioni corrette a consumatori, produttori e amministratori, è possibile utilizzare KMS chiavi personalizzate proprie Account AWS o altrui. Account AWS Tutte le KMS chiavi del tuo account vengono visualizzate nell'elenco delle chiavi gestite dal cliente sulla console.

Per utilizzare KMS le chiavi personalizzate che si trovano in un altro account, devi disporre delle autorizzazioni per utilizzare tali chiavi. È inoltre necessario creare lo stream utilizzando. CreateStream API Non puoi utilizzare KMS chiavi di account diversi negli stream creati nella console.

Nota

Non si accede alla KMS chiave finché non viene eseguita GetMedia l'operazione PutMedia or. Tali operazioni producono i risultati seguenti:

  • Se la chiave specificata non esiste, l'CreateStreamoperazione ha esito positivo, ma PutMedia le GetMedia operazioni sullo stream hanno esito negativo.

  • Se utilizzi la chiave fornita (aws/kinesis-video), la chiave non è presente nel tuo account finché non viene eseguita la prima PutMedia GetMedia operazione.

Autorizzazioni per l'utilizzo di una chiave gestita dal cliente

Prima di poter utilizzare la crittografia lato server con una chiave gestita dal cliente, è necessario configurare le politiche KMS chiave per consentire la crittografia degli stream e la crittografia e la decrittografia dei record di flusso. Per esempi e ulteriori informazioni sulle AWS KMS autorizzazioni, vedere AWS KMS APIPermissions: Actions and Resources Reference.

Nota

L'uso della chiave di servizio predefinita per la crittografia non richiede l'applicazione di autorizzazioni personalizzateIAM.

Prima di utilizzare una chiave gestita dal cliente, verifica che i produttori e i consumatori di streaming video Kinesis (IAMprincipali) siano utenti secondo la policy di chiave AWS KMS predefinita. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni relative alle chiavi KMS tramite le policy IAM. Per ulteriori informazioni, consulta Utilizzo delle IAM politiche con. AWS KMS

Esempio di autorizzazioni di produttore

I produttori di streaming video Kinesis devono avere l'kms:GenerateDataKeyautorizzazione:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }

Esempio di autorizzazioni per i consumatori

Gli utenti che utilizzano lo streaming video Kinesis devono avere l'kms:Decryptautorizzazione:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }