本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务器端加密是 Amazon Kinesis Data Streams 中的一项功能,它使用 AWS KMS 您指定的客户主密钥 (CMK) 在数据处于静止状态之前自动对其进行加密。数据在写入 Kinesis 流存储层之前加密,并在从存储检索到之后进行解密。因此,在 Kinesis Data Streams 服务中对数据进行静态加密。这样,您就可以满足严格的监管要求并增强您数据的安全性。
采用服务器端加密时,您的 Kinesis 流创建器和消费端不需要管理主密钥或加密操作。您的数据在进入和离开 Kinesis Data Streams 服务时会自动加密,因此您的静态数据会被加密。 AWS KMS 提供了服务器端加密功能使用的所有主密钥。 AWS KMS 便于使用 AWS由管理的 Kinesis 的 CMK、 AWS KMS 用户指定的 CMK 或导入到服务中的主密钥。 AWS KMS
注意
服务器端加密仅在启用加密后加密传入数据。启用服务器端加密后,未加密流中预先存在的数据不会加密。
在加密您的数据流并与其他委托人共享访问权限时,您必须在密钥策略和外部账户的 IAM 策略中授予权限。 AWS KMS 有关更多信息,请参阅允许其他账户中的用户使用 KMS 密钥。
如果您已使用 AWS 托管 KMS 密钥为数据流启用服务器端加密,并希望通过资源策略共享访问权限,则必须切换到使用客户托管密钥 (CMK),如下所示:
此外,您必须允许您的共享主体实体使用 KMS 跨账户共享功能来访问您的 CMK。此外还务必要对共享主体实体的 IAM policy 进行更改。有关更多信息,请参阅允许其他账户中的用户使用 KMS 密钥。
