Criptografia do Amazon MSK - Amazon Managed Streaming for Apache Kafka
Criptografia do Amazon MSK em repousoCriptografia do Amazon MSK em trânsito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia do Amazon MSK

O Amazon MSK fornece opções de criptografia de dados que você pode usar para atender a requisitos rigorosos de gerenciamento de dados. É necessário renovar a cada 13 meses os certificados que o Amazon MSK usa para criptografia. O Amazon MSK renova automaticamente esses certificados para todos os clusters. Ele define o estado do cluster como MAINTENANCE quando inicia a operação de atualização do certificado. Quando a atualização é concluída, o estado é definido novamente como ACTIVE. Enquanto um cluster está no estado MAINTENANCE, você pode continuar a produzir e consumir dados, mas não pode executar nenhuma operação de atualização nele.

Criptografia do Amazon MSK em repouso

O Amazon MSK se integra ao AWS Key Management Service (KMS) para oferecer uma criptografia transparente no lado do servidor. O Amazon MSK sempre criptografa seus dados em repouso. Ao criar um cluster do MSK, você pode especificar a AWS KMS key que deseja que o Amazon MSK use para criptografar seus dados em repouso. Se você não especificar uma chave do KMS, o Amazon MSK criará uma Chave gerenciada pela AWS para você e a usará em seu nome. Para ter mais informações sobre as chaves do KMS, consulte AWS KMS keys no Guia do desenvolvedor do AWS Key Management Service .

Criptografia do Amazon MSK em trânsito

O Amazon MSK usa TLS 1.2. Por padrão, ele criptografa os dados em trânsito entre os agentes do seu cluster do MSK. É possível substituir esse padrão no momento de criação do cluster.

Para a comunicação entre clientes e agentes, é necessário especificar uma destas três configurações:

  • Permitir somente dados criptografados por TLS. Essa é a configuração padrão.

  • Permitir dados não criptografados e dados criptografados por TLS.

  • Permitir apenas dados não criptografados.

Os corretores do Amazon MSK usam certificados públicos AWS Certificate Manager . Portanto, qualquer armazenamento confiável que confie no Amazon Trust Services também confia nos agentes do Amazon MSK.

Embora seja altamente recomendável habilitar a criptografia em trânsito, isso pode acrescentar sobrecarga à CPU e alguns milissegundos de latência. Contudo, a maioria dos casos de uso não é afetada por essas diferenças, e a magnitude do impacto depende da configuração do cluster, dos clientes e do perfil de uso.