选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

Amazon MWAA 上的加密

聚焦模式
Amazon MWAA 上的加密 - Amazon Managed Workflows for Apache Airflow

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

以下主题描述 Amazon MWAA 如何保护静态和传输中的数据。使用此信息了解 Amazon MWAA 如何与之集成 AWS KMS 以加密静态数据,以及如何使用传输层安全 (TLS) 协议对传输中的数据进行加密。

静态加密

在 Amazon MWAA 上,静态数据是服务保存到永久媒体的数据。

您可以使用 AWS 自有密钥进行静态数据加密,也可以选择在创建环境时提供由客户托管的密钥以进行额外加密。如果您选择使用客户托管的 KMS 密钥,则该密钥必须与您在环境中使用的其他 AWS 资源和服务位于同一个账户中。

要使用客户托管的 KMS 密钥,您必须附上 CloudWatch 访问密钥策略所需的策略声明。当您在环境中使用客户托管的 KMS 密钥时,Amazon MWAA 会代表您附加四项授权。有关 Amazon MWAA 附加到客户托管的 KMS 密钥的授权的更多信息,请参阅用于数据加密的客户托管密钥

如果您未指定客户托管的 KMS 密钥,则默认情况下,Amazon MWAA 会使用自己的 KMS 密钥来加密和解密您的数据。 AWS 我们建议使用 AWS 自有的 KMS 密钥来管理 Amazon MWAA 上的数据加密。

注意

您需要为在 Amazon MWAA 上存储和使用 AWS 自有或客户托管的 KMS 密钥付费。有关更多信息,请参阅AWS KMS 定价

加密构件

在创建 Amazon MWAA 环境时,您可以通过指定 AWS 自有密钥由客户托管的密钥来指定用于静态加密的加密构件。Amazon MWAA 会向指定密钥添加所需的授权

Amazon S3 — Amazon S3 数据使用服务器端加密(SSE)进行对象级别加密。Amazon S3 加密和解密过程在存储 DAG 代码和支持文件的 Amazon S3 存储桶上进行。将对象上传到 Amazon S3 时对其进行加密,并在将其下载到 Amazon MWAA 环境时对其进行解密。默认情况下,如果您使用的是由客户托管的 KMS 密钥,Amazon MWAA 会使用它来读取和解密 Amazon S3 存储桶中的数据。

CloudWatch 日志-如果您使用的是 AWS 拥有的 KMS 密钥,则发送到日志的 Apache Airflow CloudWatch 日志将使用服务器端加密 (SSE) 和 CloudWatch 日志 AWS 拥有的 KMS 密钥进行加密。如果您使用的是客户托管的 KMS 密钥,则必须向 KMS 密钥添加密钥策略以允许 CloudWatch Logs 使用您的密钥。

Amazon SQS — Amazon MWAA 为环境创建一个 Amazon SQS 队列。Amazon MWAA 使用服务器端加密 (SSE) 使用自有的 KMS 密钥或您指定的客户托管 KMS 密钥来处理传入和传出队列的数据。 AWS 无论您使用的是 AWS 自有密钥还是客户托管的 KMS 密钥,都必须向您的执行角色添加 Amazon SQS 权限。

Aurora PostgreSQL — Amazon MWAA 为环境创建一个 PostgreSQL 集群。Aurora PostgreSQL 使用服务器端加密 (SSE) 使用自有或客户托管的 KMS 密钥对内容进行加密。 AWS 如果您使用的是由客户托管的 KMS 密钥,Amazon RDS 会向该密钥添加至少两个授权:一个用于集群,一个用于数据库实例。如果您选择在多个环境中使用由客户托管的 KMS 密钥,Amazon RDS 可能会创建额外的授权。有关更多信息,请参阅 Amazon S3 中的数据保护

传输中加密

传输中的数据是指在网络中传输时可能被拦截的数据。

传输层安全 (TLS) 对环境的 Apache Airflow 组件与其他 AWS 与 Amazon MWAA 集成的服务(例如 Amazon S3)之间传输的 Amazon MWAA 对象进行加密。有关 Amazon S3 加密的更多信息,请参阅使用加密保护数据

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。