Amazon Data Firehose 中的資料保護 - Amazon Data Firehose
使用 Kinesis Data Streams 進行伺服器端加密使用 Direct PUT或其他資料來源的伺服器端加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Data Firehose 中的資料保護

Amazon Data Firehose 會使用TLS通訊協定加密傳輸中的所有資料。此外,對於在處理期間存放在臨時儲存中的資料,Amazon Data Firehose 會使用 加密資料AWS Key Management Service,並使用檢查總和驗證來驗證資料完整性。

如果您有敏感資料,您可以在使用 Amazon Data Firehose 時啟用伺服器端資料加密。您的做法取決於資料的來源。

注意

如果您在 AWS 透過命令列界面或 FIPS 存取 時需要 140-2 個經過驗證的密碼編譯模組API,請使用 FIPS端點。如需可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2

使用 Kinesis Data Streams 進行伺服器端加密

當您將資料從資料生產者傳送到資料串流時,Kinesis Data Streams 會使用 AWS Key Management Service (AWS KMS) 金鑰加密您的資料,然後再將資料存放到靜態。當您的 Firehose 串流從資料串流讀取資料時,Kinesis Data Streams 會先解密資料,然後將其傳送至 Amazon Data Firehose。Amazon Data Firehose 會根據您指定的緩衝提示,緩衝記憶體中的資料。再傳送到您的目的地,而不會將未加密的資料儲存為靜態資料。

如需如何為 Kinesis 資料串流啟用伺服器端加密的相關資訊,請參閱《Amazon Kinesis Data Streams 開發人員指南》中的使用伺服器端加密

使用 Direct PUT或其他資料來源的伺服器端加密

如果您使用 PutRecord或 將資料傳送至 Firehose 串流PutRecordBatch,或者使用 AWS IoT Amazon CloudWatch Logs 或 CloudWatch Events 傳送資料,您可以使用 StartDeliveryStreamEncryption操作開啟伺服器端加密。

若要停止 server-side-encryption,請使用 StopDeliveryStreamEncryption操作。

您也可以在建立 Firehose 串流SSE時啟用 。若要這樣做,請指定DeliveryStreamEncryptionConfigurationInput您何時叫用 CreateDeliveryStream

CMK 當 為類型 時CUSTOMER_MANAGED_CMK,如果 Amazon Data Firehose 服務因為 KMSNotFoundExceptionKMSInvalidStateExceptionKMSDisabledException或 而無法解密記錄KMSAccessDeniedException,則服務會為您等候最多 24 小時 (保留期間) 來解決問題。如果問題持續超過保留期間,服務會略過那些已經過保留期間且無法解密的記錄,然後捨棄資料。Amazon Data Firehose 提供下列四個 CloudWatch 指標,可用於追蹤四個 AWS KMS 例外狀況:

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

如需這四個指標的詳細資訊,請參閱 使用 CloudWatch 指標監控 Amazon Data Firehose

重要

若要加密 Firehose 串流,請使用對稱 CMKs。Amazon Data Firehose 不支援非對稱 CMKs。如需對稱和非對稱 的相關資訊CMKs,請參閱 AWS Key Management Service 開發人員指南中的關於對稱和非對稱CMKs

注意

當您使用客戶受管金鑰 (CUSTOMER_MANAGED_CMK) 來啟用 Firehose 串流的伺服器端加密 (SSE) 時,Firehose 服務會在每次使用您的金鑰時設定加密內容。由於此加密內容代表使用您 AWS 帳戶所擁有的金鑰,因此會記錄為 AWS 帳戶 AWS CloudTrail 事件日誌的一部分。此加密內容是由 Firehose 服務產生的系統。您的應用程式不應對 Firehose 服務所設定的加密內容的格式或內容做出任何假設。