本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MSK加密
Amazon MSK提供資料加密選項,您可以用來滿足嚴格的資料管理需求。Amazon MSK用於加密的憑證必須每 13 個月續約一次。Amazon MSK會自動為所有叢集續約這些憑證。啟動憑證更新作業時,它會將叢集的狀態設定為 MAINTENANCE。更新完成時,它會將設定調回 ACTIVE。當叢集處於 MAINTENANCE 狀態時,您可以繼續產生和使用資料,但無法對叢集執行任何更新作業。
Amazon 靜態MSK加密
Amazon 與 AWS Key Management Service(KMS) MSK整合,以提供透明的伺服器端加密。Amazon MSK一律會加密靜態資料。建立MSK叢集時,您可以指定要 Amazon MSK用來加密靜態資料的 AWS KMS key 。如果您未指定KMS金鑰,Amazon AWS 受管金鑰會為您MSK建立 並代表您使用它。如需KMS金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南AWS KMS keys》中的 。
傳輸中的 Amazon MSK加密
Amazon MSK使用 TLS 1.2。根據預設,它會加密MSK叢集代理程式之間傳輸中的資料。您可以在建立叢集時覆寫此預設值。
針對用戶端與代理程式之間的通訊,您必須指定下列三種設定之一:
僅允許TLS加密的資料。這是預設設定。
允許純文字和TLS加密資料。
只允許純文字資料。
Amazon MSK代理程式使用公有 AWS Certificate Manager 憑證。因此,信任 Amazon Trust Services 的任何信任存放區也會信任 Amazon MSK代理程式的憑證。
雖然我們強烈建議啟用傳輸中加密,但它可能會增加額外的CPU額外負荷和幾毫秒的延遲。不過,大多數使用案例對這些差異並不敏感,且影響程度取決於叢集、用户端和使用設定檔的組態。
