As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no Kinesis Video Streams
Você pode usar a criptografia do lado do servidor (SSE) usando AWS Key Management Service chaves () para atender aos requisitos rígidos de gerenciamento de dados criptografando seus dados em repouso no Amazon Kinesis Video Streams.AWS KMS
Tópicos
O que é criptografia do lado do servidor para o Kinesis Video Streams?
A criptografia do lado do servidor é um recurso do Kinesis Video Streams que criptografa automaticamente os dados antes de serem armazenados em repouso usando uma chave especificada por você. AWS KMS Os dados são criptografados antes de serem gravados na camada de armazenamento de streams do Kinesis Video Streams e são descriptografados após serem recuperados do armazenamento. Como resultado, seus dados são sempre criptografados em repouso no serviço Kinesis Video Streams.
Com a criptografia do lado do servidor, seus produtores e consumidores de streaming de vídeo do Kinesis não precisam gerenciar KMS chaves ou operações criptográficas. Se a retenção de dados estiver ativada, seus dados serão criptografados automaticamente ao entrarem e saírem do Kinesis Video Streams, então seus dados em repouso serão criptografados. AWS KMS fornece todas as chaves usadas pelo recurso de criptografia do lado do servidor. AWS KMS simplifica o uso de uma KMS chave para o Kinesis Video Streams que é gerenciada AWS por, uma chave AWS KMS especificada pelo usuário importada para o serviço. AWS KMS
Custos, regiões e considerações de desempenho
Ao aplicar a criptografia do lado do servidor, você está sujeito ao AWS KMS API uso e aos custos principais. Ao contrário das AWS KMS chaves personalizadas, a (Default) aws/kinesis-video KMS chave é oferecida gratuitamente. No entanto, você ainda precisa pagar pelos custos de API uso incorridos pelo Kinesis Video Streams em seu nome.
APIos custos de uso se aplicam a todas as KMS chaves, inclusive as personalizadas. Os AWS KMS custos aumentam de acordo com o número de credenciais de usuário que você usa em seus produtores e consumidores de dados, pois cada credencial de usuário exige uma API chamada exclusiva para. AWS KMS
Veja a seguir a descrição dos custos por recurso:
Chaves
-
A KMS chave do Kinesis Video Streams AWS gerenciada por (
aws/kinesis-videoalias =) é gratuita. -
KMSAs chaves geradas pelo usuário estão sujeitas a AWS KMS key custos. Para obter mais informações, consulte Preços do AWS Key Management Service
.
AWS KMS APIuso
APIas solicitações para gerar novas chaves de criptografia de dados ou recuperar chaves de criptografia existentes aumentam à medida que o tráfego aumenta e estão sujeitas a custos de AWS KMS uso. Para obter mais informações, consulte AWS Key Management Service Preços: Uso
O Kinesis Video Streams gera solicitações importantes mesmo quando a retenção está definida como 0 (sem retenção).
Disponibilidade de criptografia do lado do servidor por região
A criptografia do lado do servidor dos streams de vídeo do Kinesis está disponível em todos os locais onde o Kinesis Video Regiões da AWS Streams está disponível.
Como faço para começar a usar a criptografia do lado do servidor?
A criptografia do lado do servidor está sempre ativada no Kinesis Video Streams. Se uma chave fornecida pelo usuário não for especificada quando o stream for criado, a Chave gerenciada pela AWS (fornecida pelo Kinesis Video Streams) será usada.
Uma KMS chave fornecida pelo usuário deve ser atribuída a um stream de vídeo do Kinesis quando ele é criado. Você não pode atribuir uma chave diferente a uma transmissão usando a UpdateStreamAPImais tarde.
Você pode atribuir uma KMS chave fornecida pelo usuário a um stream de vídeo do Kinesis de duas maneiras:
-
Ao criar um stream de vídeo do Kinesis no AWS Management Console, especifique a KMS chave na guia Criptografia na página Criar um novo stream de vídeo.
-
Ao criar um stream de vídeo do Kinesis usando o CreateStreamAPI, especifique o ID da chave no
KmsKeyIdparâmetro.
Criação e uso de uma chave gerenciada pelo cliente
Esta seção descreve como criar e usar suas próprias KMS chaves em vez de usar a chave administrada pelo Amazon Kinesis Video Streams.
Criar uma chave gerenciada pelo cliente
Para obter informações sobre como criar suas próprias chaves, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor. Depois de criar as chaves para sua conta, o serviço Kinesis Video Streams retorna essas chaves na lista de chaves gerenciadas pelo cliente.
Com usar uma chave gerenciada pelo cliente.
Depois que as permissões corretas forem aplicadas aos seus consumidores, produtores e administradores, você poderá usar KMS chaves personalizadas na sua própria Conta da AWS ou em outra Conta da AWS. Todas KMS as chaves da sua conta aparecem na lista de chaves gerenciadas pelo cliente no console.
Para usar KMS chaves personalizadas localizadas em outra conta, você deve ter permissões para usar essas chaves. Você também deve criar o fluxo usando CreateStream API o. Você não pode usar KMS chaves de contas diferentes em streams criados no console.
nota
A KMS chave não é acessada até que a GetMedia operação PutMedia ou seja executada. Estes são os resultados disso:
-
Se a chave especificada não existir, a
CreateStreamoperação será bem-sucedida, masPutMediaGetMediaas operações no stream falharão. -
Se você usar a chave fornecida (
aws/kinesis-video), a chave não estará presente na sua conta até que a primeiraGetMediaoperaçãoPutMediaou operação seja executada.
Permissões para usar uma chave gerenciada pelo cliente
Antes de usar a criptografia do lado do servidor com uma chave gerenciada pelo cliente, você deve configurar políticas de KMS chaves para permitir a criptografia de fluxos e a criptografia e descriptografia de registros de fluxo. Para obter exemplos e mais informações sobre AWS KMS permissões, consulte AWS KMS APIPermissões: Referência de ações e recursos.
nota
O uso da chave de serviço padrão para criptografia não exige a aplicação de IAM permissões personalizadas.
Antes de usar uma chave gerenciada pelo cliente, verifique se os produtores e consumidores (IAMprincipais) do stream de vídeo do Kinesis são usuários na política de chaves AWS KMS padrão. Caso contrário, as gravações e as leituras de um streaming falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. Você pode gerenciar permissões para KMS chaves usando IAM políticas. Para obter mais informações, consulte Usando IAM políticas com AWS KMS.
Exemplo de permissões de produtor
Seus produtores de stream de vídeo do Kinesis devem ter a kms:GenerateDataKey permissão:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
Exemplo de permissões do consumidor
Seus consumidores de streaming de vídeo do Kinesis devem ter a kms:Decrypt permissão:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
