Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Amazon Data Firehose のデータ保護

PDF
RSS
フォーカスモード
Amazon Data Firehose のデータ保護 - Amazon Data Firehose
Kinesis Data Streams を使用したサーバー側の暗号化Direct PUT または他のデータソースを使用したサーバー側の暗号化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Data Firehose は TLS プロトコルを使用して転送中のすべてのデータを暗号化します。さらに、処理中に中間ストレージに保存されたデータについては、Amazon Data Firehose は AWS Key Management Service を使用してデータを暗号化し、チェックサム検証を使用してデータの整合性を検証します。

機密データがある場合、Amazon Data Firehose を使用するときにサーバー側のデータ暗号化を有効にすることができます。これを行う方法は、データソースによって異なります。

注記

コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

Kinesis Data Streams を使用したサーバー側の暗号化

データプロデューサーからデータストリームにデータを送信すると、Kinesis Data Streams は保管中のデータを保存する前に AWS Key Management Service (AWS KMS) キーを使用してデータを暗号化します。Firehose ストリームがデータストリームからデータを読み取ると、Amazon Data Streams はまずデータを復号してから Kinesis Data Firehose に送信します。Amazon Data Firehose は、指定したバッファリングのヒントに基づいてデータをメモリにバッファリングします。その後、暗号化されていないデータを保存することなく、送信先に配信します。

Kinesis Data Streams でサーバー側の暗号化を有効にする方法については、Amazon Kinesis Data Streams 開発者ガイドの「サーバー側の暗号化の使用」を参照してください。

Direct PUT または他のデータソースを使用したサーバー側の暗号化

PutRecord または PutRecordBatch を使用して Firehose ストリームにデータを送信する場合、または AWS IoT、Amazon CloudWatch Logs、または CloudWatch Events を使用してデータを送信する場合は、StartDeliveryStreamEncryption オペレーションを使用してサーバー側の暗号化を有効にできます。

サーバー側の暗号化を停止するには、StopDeliveryStreamEncryption オペレーションを使用します。

Firehose ストリームを作成するときに SSE を有効にすることもできます。それを行うには、CreateDeliveryStream を呼び出すときに、DeliveryStreamEncryptionConfigurationInput を指定します。

CMK のタイプが CUSTOMER_MANAGED_CMK のときに、KMSNotFoundExceptionKMSInvalidStateExceptionKMSDisabledException、または KMSAccessDeniedException のエラーのために Amazon Data Firehose サービスがレコードを復号できない場合、問題が解決されるまでサービスは最大 24 時間 (保持期間) 待機します。保持期間を超えて問題が解決されない場合、サービスは、保持期間を超えて復号できなかったレコードをスキップし、データを破棄します。Amazon Data Firehose には、4 つの AWS KMS 例外を追跡するために使用できる次の 4 つの CloudWatch メトリクスが用意されています。

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

これら 4 つのメトリクスの詳細については、「CloudWatch メトリクスを使用して Amazon Data Firehose をモニタリングする」を参照してください。

重要

Firehose ストリームを暗号化するには、対称 CMK を使用します。Amazon Data Firehose は非対称 CMK をサポートしていません。対称および非対称 CMKs、 デ AWS Key Management Service ベロッパーガイドの「対称および非対称 CMKs」を参照してください。

注記

カスタマーマネージドキー (CUSTOMER_MANAGED_CMK) を使用して Firehose ストリームのためにサーバー側の暗号化 (SSE) を有効にすると、Firehose サービスは、キーを使用するたびに暗号化コンテキストを設定します。この暗号化コンテキストは、 AWS アカウントが所有するキーが使用された出現を表すため、 AWS アカウントの AWS CloudTrail イベントログの一部として記録されます。この暗号化コンテキストは、Firehose サービスによって生成されたシステムです。アプリケーションは、Firehose サービスによって設定された暗号化コンテキストの形式やコンテンツについて、いかなる想定もすべきではありません。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.