翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MSK 暗号化
Amazon MSK には、厳格なデータ管理要件を満たすために使用できるデータ暗号化オプションが用意されています。Amazon MSK が暗号化に使用する証明書は、13 か月ごとに更新する必要があります。Amazon MSK は、すべてのクラスターに対してこれらの証明書を自動的に更新します。証明書の更新オペレーションを開始すると、クラスターの状態が MAINTENANCE に設定されます。更新が完了すると、この状態は再び ACTIVE に設定されます。クラスターが MAINTENANCE 状態の間は、引き続きデータを生成して使用できますが、更新オペレーションは実行できません。
保管中の Amazon MSK 暗号化
Amazon MSK はAWS Key Management Service (KMS) と統合して、透過的なサーバー側暗号化を提供します。Amazon MSK は、保管中のデータを常に暗号化します。MSK クラスターを作成するときに、Amazon MSK が保管中のデータの暗号化に使用する AWS KMS key を指定できます。KMS キーを指定しない場合、Amazon MSK がユーザーの代わりに AWS マネージドキーを作成し、それを使用します。KMS キーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMS keys」を参照してください。
転送中の Amazon MSK 暗号化
Amazon MSKは TLS 1.2 を使用します。デフォルトでは、MSK クラスターのブローカー間で転送中のデータを暗号化します。このデフォルトは、クラスターの作成時に上書きできます。
クライアントとブローカー間の通信では、次の 3 つの設定のいずれかを指定する必要があります。
TLS 暗号化データのみを許可します。これはデフォルトの設定です。
プレーンテキストと TLS 暗号化データの両方を許可します。
プレーンテキストのデータのみを許可します。
Amazon MSK ブローカーはパブリック AWS Certificate Manager 証明書を使用します。したがって、Amazon Trust Services を信頼するトラストストアは、Amazon MSK ブローカーの証明書も信頼します。
転送中の暗号化を有効にすることを強くお勧めしますが、CPU オーバーヘッドが増加し、数ミリ秒のレイテンシーが発生する可能性があります。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。
