密钥管理 - Amazon Fraud Detector
创建客户托管KMS密钥使用密钥对数据进行加密 KMS查看数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

密钥管理

Amazon Fraud Detector 使用以下两种密钥之一对您的数据进行加密:

  • 网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS 拥有的KMS密钥。这是默认模式。

  • 客户管理的KMS密钥

创建客户托管KMS密钥

您可以使用以下任一方法创建客户托管KMS密钥 AWS KMS控制台或 CreateKeyAPI. 创建密钥时,请确保

  • 选择对称加密客户托管密KMS钥,Amazon Fraud Detector 不支持非对称KMS密钥。有关更多信息,请参阅中的非对称密钥 AWS KMS在 AWS 密钥管理服务开发人员指南。

  • 创建单个区域KMS密钥。Amazon Fraud Detector 不支持多区域KMS密钥。有关更多信息,请参阅中的多区域密钥 AWS KMS在 AWS 密钥管理服务开发人员指南。

  • 提供以下密钥政策,向 Amazon Fraud Detector 授予使用密钥的权限。

    
        {
    "Effect": "Allow",
    "Principal": {
        "Service": "frauddetector.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:RetireGrant"
    ],
    "Resource": "*"
}

    有关密钥策略的信息,请参阅中的使用密钥策略 AWS KMS在 AWS 密钥管理服务开发人员指南。

使用客户托管KMS密钥加密数据

使用 Amazon Fraud Detector 的 P utKMSEncryption 密钥API使用客户管理的KMS密钥加密您的静态亚马逊欺诈探测器数据。您可以随时使用更改加密配置PutKMSEncryptionKeyAPI。

有关加密数据的重要说明

  • 设置客户托管KMS密钥后生成的数据经过加密。在设置客户托管KMS密钥之前生成的数据将保持未加密状态。

  • 如果更改了客户管理的KMS密钥,则使用先前加密配置加密的数据将不会被重新加密。

查看数据

当您使用客户托管KMS密钥加密您的 Amazon Fraud Detector 数据时,无法使用亚马逊欺诈检测器控制台的 “搜索过去的预测” 区域中的筛选条件搜索使用此方法加密的数据。为确保搜索结果完整,请使用以下一个或多个属性来筛选结果:

  • 事件 ID

  • 评估时间戳

  • 探测器状态

  • 探测器版本

  • 模型版本

  • 模型类型

  • 规则评估状态

  • 规则执行模式

  • 规则匹配状态

  • 规则版本

  • 可变数据源

如果客户管理的KMS密钥已被删除或计划删除,则您的数据可能不可用。有关更多信息,请参阅删除KMS密钥