要获得与亚马逊 Timestream 类似的功能 LiveAnalytics,可以考虑适用于 InfluxDB 的亚马逊 Timestream。适用于 InfluxDB 的 Amazon Timestream 提供简化的数据摄取和个位数毫秒级的查询响应时间,以实现实时分析。点击[此处](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)了解更多信息。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Timestream 中的数据保护 LiveAnalytics
分担责任模式 AWS [分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于亚马逊 Timestream Live Analytics 中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括当你使用控制台、API 或 Timestream Live Analytics 或其他 AWS 服务 方式使用 AWS CLI时。 AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
有关静态加密和密钥管理等 LiveAnalytics 数据保护主题的 Timestream 的更多详细信息,请选择以下任何可用主题。
**Topics**
+ [静态加密](EncryptionAtRest.md)
+ [传输中加密](EncryptionInTransit.md)
+ [密钥管理](KeyManagement.md)
# 静态加密
用于静 LiveAnalytics 态加密的 Timestream 使用存储在 [AWS Key Management Service ()AWS KMS](https://aws.amazon.com/kms/) 中的加密密钥对所有静态数据进行加密,从而增强安全性。此功能减少保护敏感数据时涉及的操作负担和复杂性。利用静态加密,可以构建符合严格加密合规性和法规要求的安全敏感型应用程序。
+ 默认情况下,Timestream 上的 LiveAnalytics 数据库加密处于开启状态,并且无法关闭。行业标准 AES-256 加密算法是使用的默认加密算法。
+ AWS KMS 是在 Timestream 中进行静态加密所必需的 LiveAnalytics。
+ 无法仅加密表的项目子集。
+ 您无需修改数据库客户端应用程序来使用加密。
如果您不提供密钥,则 Timestream LiveAnalytics 会创建并使用`alias/aws/timestream`在您的账户中命名的 AWS KMS 密钥。
您可以在 KMS 中使用自己的客户托管密钥来加密您的 Timestream 中的 LiveAnalytics 数据。有关 Timestream 中的密钥的更多信息 LiveAnalytics,请参阅[密钥管理](KeyManagement.md)。
Timestream 用于将您的数据 LiveAnalytics 存储在两个存储层,即内存存储和磁性存储。内存存储数据使用 LiveAnalytics 服务密钥的时间流进行加密。磁性存储数据使用您的 AWS KMS 密钥进行加密。
Timestream 查询服务需要凭证才能访问数据。这些凭证使用 KMS 密钥进行加密。
**注意**
Timestream f AWS KMS or LiveAnalytics 并不要求每个解密操作。相反,其会在流量活跃时将密钥本地保存 5 分钟。任何权限更改都将通过 LiveAnalytics 系统的 Timestream 传播,并在最多 5 分钟内实现最终一致性。
# 传输中加密
所有 Timestream LiveAnalytics 数据都会在传输过程中加密。默认情况下,与Timestream的所有通信都使用传输层安全 (TLS) 加密进行保护。 LiveAnalytics
# 密钥管理
您可以使用密钥管理[服务 (K AWS MS) 管理亚马逊 Timestream Live Analytics 的密AWS 钥](https://docs.aws.amazon.com/kms/latest/developerguide/)。**Timestream LiveAnalytics 需要使用 KMS 加密数据。**根据需要对密钥进行控制的程度,可选择以下密钥管理选项:
**数据库和表资源**
+ *Timestream LiveAnalytics 托管的密钥:*如果未提供密钥,Timestream LiveAnalytics 将使用 KMS 创建 `alias/aws/timestream` 密钥。
+ *客户托管的密钥:*支持使用 KMS 客户托管的密钥。如果需要对密钥的权限和生命周期进行更精细的控制,包括实现密钥的年度自动轮换功能,请选择此选项。
**计划查询资源**
+ *Timestream LiveAnalytics 自有密钥:*如果未提供密钥,Timestream LiveAnalytics 将使用自有的 KMS 密钥加密查询资源,该密钥存在于 Timestream 账户中。有关更多详细信息,请参阅《KMS 开发人员指南》中的 [AWS 自有密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
+ *客户托管的密钥:*支持使用 KMS 客户托管的密钥。如果需要对密钥的权限和生命周期进行更精细的控制,包括实现密钥的年度自动轮换功能,请选择此选项。
KMS 密钥不支持外部密钥存储(XKS)。