Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Proteção de dados no Amazon Data Firehose

PDF
RSS
Modo de foco
Proteção de dados no Amazon Data Firehose - Amazon Data Firehose
Criptografia no lado do servidor com o Kinesis Data StreamsCriptografia do lado do servidor com Direct PUT ou outras fontes de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O Amazon Data Firehose criptografa todos os dados em trânsito usando o protocolo TLS. Além disso, quando os dados são armazenados em armazenamento provisório durante o processamento, o Amazon Data Firehose os criptografa usando o AWS Key Management Service e verifica sua integridade usando a soma de verificação.

Se você tiver dados confidenciais, poderá habilitar a criptografia de dados no lado do servidor ao usar o Amazon Data Firehose. Como fazer isso depende da fonte dos seus dados.

nota

Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para ter mais informações sobre endpoints do FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-2.

Criptografia no lado do servidor com o Kinesis Data Streams

Quando você envia dados de seus produtores de dados para seu stream de dados, o Kinesis Data Streams criptografa seus dados AWS Key Management Service usando AWS KMS uma chave () antes de armazená-los em repouso. Quando seu fluxo do Firehose lê os dados do fluxo de dados, o Kinesis Data Streams primeiro descriptografa os dados e depois os envia ao Amazon Data Firehose. O Amazon Data Firehose armazena os dados na memória com base nas sugestões de armazenamento em buffer que você especifica. Em seguida, entrega-o aos destinos sem armazenar os dados não criptografados em repouso.

Para obter informações sobre como habilitar a criptografia no lado do servidor para o Kinesis Data Streams, consulte Using Server-Side Encryption no Amazon Kinesis Data Streams Developer Guide.

Criptografia do lado do servidor com Direct PUT ou outras fontes de dados

Se você enviar dados para seu stream do Firehose usando PutRecordou PutRecordBatch, ou se você enviar os dados usando AWS IoT Amazon CloudWatch Logs ou CloudWatch Events, você pode ativar a criptografia do lado do servidor usando a operação. StartDeliveryStreamEncryption

Para parar server-side-encryption, use a StopDeliveryStreamEncryptionoperação.

Também é possível habilitar a SSE ao criar o fluxo do Firehose. Para fazer isso, especifique DeliveryStreamEncryptionConfigurationInputquando você invoca. CreateDeliveryStream

Quando a CMK é do tipo CUSTOMER_MANAGED_CMK, se o serviço Amazon Data Firehose não conseguir descriptografar os registros devido a uma KMSNotFoundException, KMSInvalidStateException, KMSDisabledException ou KMSAccessDeniedException, o serviço aguardará até 24 horas (o período de retenção) para você resolver o problema. Se o problema persistir depois do período de retenção, o serviço ignorará os registros que passaram pelo período de retenção e não puderam ser descriptografados, e descartará os dados. O Amazon Data Firehose fornece as quatro CloudWatch métricas a seguir que você pode usar para rastrear as quatro AWS KMS exceções:

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Para obter mais informações sobre essas quatro métricas, consulte Monitore o Amazon Data Firehose com métricas CloudWatch .

Importante

Para criptografar seu stream do Firehose, use symmetric. CMKs O Amazon Data Firehose não oferece suporte a assimetrias. CMKs Para obter informações sobre simétrico e assimétrico CMKs, consulte Sobre simétrico e CMKs assimétrico no guia do desenvolvedor. AWS Key Management Service

nota

Quando você usa uma chave gerenciada pelo cliente (CUSTOMER_MANAGED_CMK) para ativar a criptografia do lado do servidor (SSE) no seu fluxo do Firehose, o serviço do Firehose define um contexto de criptografia sempre que usa sua chave. Como esse contexto de criptografia representa uma ocorrência em que uma chave pertencente à sua AWS conta foi usada, ela é registrada como parte dos registros de AWS CloudTrail eventos da sua AWS conta. Esse contexto de criptografia é gerado pelo sistema pelo serviço do Firehose. Sua aplicação não deve fazer nenhuma suposição sobre o formato ou o conteúdo do contexto de criptografia definido pelo serviço do Firehose.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.